lees voor

Gedragscode

Binnen de Regio Rijnmond is een platform ingericht voor de uitwisseling van zorggerelateerde informatie, hierna aangeduid als het ‘Zorgportaal'. Het is van belang dat zorgvuldigheid wordt betracht bij de omgang met patiëntgegevens die via het Zorgportaal zijn te benaderen. Aan transmurale uitwisseling van patiëntgegevens zijn grote voordelen, maar ook risico's verbonden. Daarom worden in deze gedragscode regels en voorwaarden gesteld aan deze omgang met patiëntgegevens voor gebruikers.

Doelstelling

Het instellen van deze gedragscode heeft tot doel de voorwaarden bekend te maken waaronder toegang wordt verkregen tot de patiëntgegevens die op het het Zorgportaal worden geplaatst. Hiermee wordt beoogd:

  • de gebruiker van de patiëntgegevens op de hoogte te stellen van zijn rechten en plichten voor het gebruik van de data op het Zorgportaal
  • ongeautoriseerde toegang tot patiëntgegevens te voorkomen en de gevolgen van eventuele schending te beperken Hiertoe kunnen log- gegevens systematisch, steekproefsgewijs of naar aanleiding van incidenten worden opgevraagd door de beheersorganisatie.
  • eventueel misbruik te detecteren en maatregelen treffen ter voorkoming van misbruik
  • risico van schade aan de goede naam van de betrokken partijen te beperken.

Gehanteerde begrippen

In deze gedragscode worden de volgende begrippen gehanteerd: 

  • Verantwoordelijke(n): de opdrachtgever(s), degene die het doel en de middelen van het Zorgportaal vaststelt en toezicht houdt op het zorgvuldig en geautoriseerd gebruik van de data.
  • Bewerker: degene die het technisch functioneren van het Zorgportaal uitvoert. De bewerker is verantwoordelijk voor de beveiliging van het Zorgportaal en het correct vastleggen van het proces van autorisatie voor de toegang tot gegevens op het platform.
  • Gebruiker: degene die gebruik maakt van de gegevens die op het Zorgportaal zijn geplaatst.
  • Zorgverlener: degene die een behandelrelatie is overeengekomen met de patiënt.
  • Patiëntgegevens: gegevens betreffende een geïdentificeerde of identificeerbare natuurlijk persoon over de gezondheidstoestand van deze persoon.
  • Regionale Privacy Commissie: het orgaan dat adviseert, ondersteunt en toetst over privacybescherming inzake regionale gegevensverwerkingen zoals het Transmuraal Informatie Platform. De RPC toetst door zich te laten informeren door de verantwoordelijke(n) op welke wijze toezicht en controle is georganiseerd.


1. Werkingssfeer

Deze gedragscode is van toepassing op iedereen die kennis kan nemen van patiëntgegevens die via het Zorgportaal zijn te benaderen. Hierbij wordt onderscheid gemaakt naar regels en voorwaarden voor zorgverleners en voor patiënten.

2. Regels en voorwaarden voor zorgverleners

Voor de omgang met patiëntgegevens die via het Zorgportaal zijn te benaderen gelden voor zorgverleners de volgende voorwaarden:
2.1 Toegang tot patiëntgegevens is slechts toegestaan voor zover dit uit hoofde van de functie noodzakelijk is. Een zorgverlener krijgt alleen toegang tot patiënten waarmee de zorgverlener een behandelrelatie is overeengekomen. Wanneer dit (nog) niet het geval is, kan toegang tot patiëntgegevens alleen worden verkregen met gebruik van een noodprocedure. De zorgverlener moet het gebruik van deze noodprocedure motiveren alvorens toegang te krijgen tot de gegevens op het platform. (Bijvoorbeeld in het geval van een waarnemend arts, die toegang wil verkrijgen tot de gegevens van een patiënt die hij als waarnemer behandelt. Dit is technisch geregeld. De waarnemend arts dient een reden aan te geven in het Zorgportaal voordat hij toegang krijgt tot de opgevraagde gegevens van een patiënt. Deze toegang wordt gelogd, zodat de patiënt achteraf kan controleren of de toegang terecht was.) Addendum
2.2 De patiëntgegevens mogen alleen worden gebruikt voor de behandeling of verzorging van de patiënt.
2.3 De zorgverlener zal alleen die patiëntgegevens raadplegen die noodzakelijk zijn op grond van zijn professionele verantwoordelijkheid voor de patiënt.
2.4 Wanneer een zorgverlener patiëntgegevens wil gebruiken voor andere doeleinden, bijvoorbeeld onderwijs, onderzoek of publicatie, vraagt de zorgverlener de patiënt hiervoor altijd voorafgaand aan gebruik schriftelijk om toestemming.
2.5 Toegang tot patiëntgegevens die zijn opgeslagen op het Zorgportaal wordt verleend op basis van sterke authenticatie. Hiervoor gelden de volgende regels:
2.5.1 De zorgverlener is verantwoordelijk voor het gebruik van de bevoegdheden die aan de toegang tot het Zorgportaal zijn verbonden. De zorgverlener dient de normale regels voor informatiebeveiliging in acht te nemen. (Bijvoorbeeld zorgvuldige omgang met de Uzipas.)

2.5.2 De toegang tot het Zorgportaal is strikt persoonlijk en niet overdraagbaar.
2.5.3 Ten aanzien van de bij de authenticatiemiddelen behorende toegangscode is geheimhouding verplicht.
2.5.4 Bij constatering van misbruik van de authenticatiemiddelen zal de zorgverlener de bewerker via de Zorgportaal-helpdesk hiervan onverwijld in kennis stellen. Voorts is de bewerker gehouden de verantwoordelijke(n) en het UZI-register hiervan in kennis te stellen.

3. Regels en voorwaarden voor patiënten

Voor de omgang met patiëntgegevens die via het Zorgportaal zijn te benaderen gelden voor patiënten en/of hun wettelijke vertegenwoordiger de volgende voorwaarden:
3.1 De patiënt krijgt alleen toegang tot de patiëntgegevens betreffende zijn eigen behandeling.
3.2 De patiënt heeft voor de op het Zorgportaal opgeslagen gegevens alle wettelijke rechten die gelden voor de verwerking van persoonsgegevens (recht op inzage en afschrift, recht op correctie, recht op vernietiging). Addendum
3.3 Toegang tot patiëntgegevens die zijn opgeslagen op het Zorgportaal wordt verleend op basis van sterke authenticatie. Hiervoor gelden de volgende regels:

3.3.1 De patiënt is verantwoordelijk voor het gebruik van de bevoegdheden die aan de toegang tot het Zorgportaal zijn verbonden. De patiënt dient hiervoor alle redelijk te treffen beveiligingsmaatregelen hebben getroffen.
3.3.2 De toegang tot het Zorgportaal is strikt persoonlijk en niet overdraagbaar.
3.3.3 Ten aanzien van de bij de authenticatiemiddelen behorende toegangscode is geheimhouding verplicht.
3.3.4 Bij constatering van misbruik van de authenticatiemiddelen dient de bewerker via de Zorgportaal-helpdesk hiervan onverwijld in kennis te worden gesteld. (B.v. in geval van inbraak of diefstal, dient de bewerker te worden geïnformeerd met het verzoek een account te blokkeren). Voorts is de bewerker gehouden de verantwoordelijke (n) en de GBO.overheid hiervan in kennis te stellen ingeval van misbruik van de DigiD.

4. Toezicht en controle

Met betrekking tot toezicht op en controle van het gebruik van het Zorgportaal gelden de volgende voorwaarden:
4.1 De verantwoordelijkheid voor het toezicht op het juiste gebruik van het Zorgportaal ligt bij de opdrachtgever(s) van het Zorgportaal-systeem. De opdrachtgever(s) kan het toezicht delegeren, aan een medewerker die onder hun gezag valt, of uitbesteden aan een bewerker (die niet onder het gezag van de verantwoordelijke valt). Rijnmondnet is aangemerkt als bewerker, is verantwoordelijke voor de beveiliging van het Zorgportaal en voor het inrichten van het autorisatieproces. Opdrachtgever is iedere organisatie die patiëntgegevens op het Zorgportaal zet. Er is een eerstverantwoordelijke aangemerkt (Erasmus MC). Bij uitbreiding van het aantal aangeslotenen (opdrachtgevers) ondertekent de nieuw aangeslotene de gedragscode. Hiermee wordt het gezag van de eerstverantwoordelijke erkend. (Zie ook onderstaand addendum).
4.2 Alle handelingen die door gebruikers en bewerkers op het Zorgportaal worden verricht, worden geregistreerd. De logging worden voor een periode van zes maanden bewaard, conform de uitgangspunten van het CBP (College Bescherming Persoonsgegevens).
4.3 Controle op het gebruik van het Zorgportaal door de opdrachtgever(s) vindt alleen plaats in het kader van de doelstelling van deze gedragscode en het beheer van het Zorgportaal. Controle kan plaatsvinden op het niveau van gegevens die herleidbaar zijn tot individuele personen.
4.4 De opdrachtgever(s) (c.q. de verantwoordelijke(n)) heeft de plicht om na een gerezen verdenking van handelen in strijd met deze gedragscode, een onderzoek in te stellen naar de rechtmatigheid van het gebruik van het Zorgportaal.

5. Sancties

In geval van overtreding van de in deze gedragscode opgenomen regels en voorwaarden gelden de volgende bepalingen:
5.1 De verantwoordelijke is verplicht een geconstateerd incident, waaronder ongeautoriseerde toegang of misbruik, te melden aan de betrokken instantie, te weten het CBP (College Bescherming Persoonsgegevens).

6. Overige bepalingen

Voor de omgang met patiëntgegevens die via het Zorgportaal zijn te benaderen gelden de volgende overige bepalingen:
6.1 Vaststelling van deze gedragscode geschiedt door het Algemeen Bestuur van de Stichting Samenwerkende Rijnmond Ziekenhuizen (SRZ).
6.2 Gebruikers worden bij het eerste gebruik van het Zorgportaal geïnformeerd over de inhoud van deze code, waaronder hetgeen over toezicht en controle is opgenomen. Zij dienen akkoord te gaan met de bepalingen uit de gedragscode alvorens toegang te krijgen tot de gegevens op het Zorgportaal.
6.3 In alle gevallen waarin deze gedragscode niet voorziet, beslist het Algemeen Bestuur van de Stichting Samenwerkende Rijnmond Ziekenhuizen (SRZ).
Aldus initieel vastgesteld door
het Algemeen Bestuur van de Stichting Samenwerkende Rijnmond Ziekenhuizen (SRZ) op 19 oktober 2009.

Addendum

In aanvulling op de "Gedragscode voor de omgang met patientgegevens Zorgportaal" is voor de pilot situatie t.a.v. artikel 2.1 nog geen sprake van toegang door andere zorgverleners buiten de behandelrelatie om, zoals genoemd "een noodprocedure".
In aanvulling op artikel 3.2 heeft de patient in verlengde van het recht op vernietiging, het recht dat zijn of haar gegevens worden verwijderd van het Zorgportaal.
In aansluiting op artikel 4.1 stemt gebruiker van het Zorgportaal er mee in dat indien er een beroep wordt gedaan op de helpdesk ondersteuning, de bevoegde beheerder mogelijk door schermovername, inzage in gegevens kan verkrijgen.