Juridische borging Renine

Voor een klinische registratie als Renine is het belangrijk om vast te leggen op welke wijze patiëntengegevens worden aangeleverd, verwerkt en opgeslagen. Daarbij moet voldaan worden aan de Wet bescherming persoonsgegevens (Wbp) omtrent omgang met privacygevoelige informatie. De Europese Commissie heeft besloten dat de huidige richtlijn van de privacyverordening moet worden aangepast. De verwachting is dat de nieuwe verordening in de loop van 2016 wordt goedgekeurd door het Europees parlement en daarmee ook van kracht wordt in Nederland. 

Strengere regels

Het voorstel van de Europese Commissie omvat nieuwe en strengere privacyregels. Persoonsgegevens mogen niet herleidbaar zijn tot het individu. Daarom moeten patiëntgegevens die naar Renine worden gestuurd, versleuteld worden. Deze versleuteling moet kunnen worden opgeheven, om op een later moment tot individuele patiëntgegevens te kunnen herleiden. Door TRES-versleuteling (Trusted Reversible Encryption Service) toe te passen vanaf 2016, wil Renine deze mogelijkheid op een veilige manier bieden.

Alle documenten die betrekking hebben op de verwerking van persoonsgegevens, moeten bewaard worden en op verzoek van de toezichthouder overlegd worden. Die verplichting geldt voor zowel medewerkers die de informatie verwerken als voor de eindverantwoordelijken in de ziekenhuizen en bij Nefrovisie. Bovendien moet iedere organisatie die gedurende twaalf maanden persoonsgegevens verwerkt van meer dan vijfduizend mensen, of überhaupt met privacygevoelige informatie werkt, iemand aanstellen voor gegevensbescherming.
Wanneer er sprake is van een ‘datalek’ en persoonsgegevens in handen vallen van een partij die geen toegang tot die informatie zou mogen hebben, dan moet dat volgens de Meldplicht datalekken direct gemeld worden aan het College bescherming persoonsgegevens (CBP). Het kabinet heeft deze meldplicht recent verder aangescherpt, met name door het CBP de bevoegdheid te geven om aanzienlijk hogere boetes op te leggen dan nu mogelijk is.

Nieuwe overeenkomsten

Vanwege de vernieuwing van Renine heeft Nefrovisie in samenspraak met de stichting Informatievoorziening Zorg (IVZ) en in overleg met een juridisch adviseur een aantal overeenkomsten opgesteld die rekening houden met deze nieuwe regels. Het gaat hierbij in eerste instantie om overeenkomsten tussen de ziekenhuizen die gegevens aanleveren en Nefrovisie die gegevens ontvangt, verwerkt en opslaat. In deze overeenkomsten worden afspraken over de wijze van aanlevering, verwerking en opslag van gegevens vastgelegd. Ook de verplichte aanlevering van Renine-indicatoren wordt erin opgenomen. Tot slot wordt vastgelegd hoe gegevens worden teruggekoppeld naar ziekenhuizen of andere partijen en wanneer ze openbaar mogen worden.

Het is de intentie om de ziekenhuizen begin 2016 een dergelijke nieuwe overeenkomst voor te leggen. In ziekenhuizen zijn dergelijke overeenkomsten bekend, bij voorbeeld uit samenwerking met DICA.

Ook met IVZ zal Nefrovisie een overeenkomst sluiten. Immers, IVZ beheert straks de database met Renine-gegevens waaruit rapportages worden opgemaakt. Deze overeenkomst zal in 2016 klaar moeten zijn gezien de gezamenlijke inspanningen om Renine toekomstbestendig te vernieuwen. U leest daar elders in deze nieuwsbrief meer over.

Toetsing Nefrovisie

In het licht van het bovenstaande is het van belang dat de procedures en standaarden die Nefrovisie zelf hanteert ook getoetst worden. We zullen in 2016 een nulmeting in het kader van een mogelijke certificering van onze organisatie laten verrichten. Vervolgens wordt bepaald of certificering voor ISO 9001 of NEN7510 mogelijk is.

In de komende maanden informeren we u over de voortgang van deze trajecten via onze website en ook via onze nieuwsbrieven. Vragen of opmerkingen kunt u posten via info@nefrovisie.nl.

Marc Hemmelder