• Dirkzwager constateerde dat Kwinzo bij het uitvoeren van de DPIA is uitgegaan van een onjuiste rolverdeling tussen partijen. Onterecht wordt HOZK in de huidige verwerkersovereenkomst aangemerkt als enige verwerkersverantwoordelijke en draagt daarmee de volledige verantwoordelijkheid voor het NIS. 
• Om de daadwerkelijke rolverdeling contractueel juist te hebben vastgelegd heeft Dirkzwager een ‘Overeenkomst van gezamenlijke verwerkingsverantwoordelijkheid’ opgesteld, ter vervanging van de huidige ‘Verwerkersovereenkomst HOZK-praktijkhouder’. Deze nieuwe overeenkomst krijgen de praktijken binnenkort toegestuurd. 
• Mede als gevolg van de onjuiste aanname m.b.t. de rolverdeling heeft in de DPIA een onvolledige beoordeling plaatsgevonden. Dirkzwager adviseerde ons om de DPIA opnieuw/uitgebreider uit te voeren onder hun begeleiding. 

 
Na een aantal maanden intensieve samenwerking met de juristen is de DPIA 2.0 op 14 juni door de eindbeoordeling van Dirkzwager gekomen. Deze DPIA heeft betrekking op de HIS extractie, de gegevensverwerkingen binnen het NIS en de verdere verwerking van NIS gegevens. De gegevensverwerkingen worden ingezet ter ondersteuning van de declaratie en verantwoording van regionaal gecontracteerde zorg, ondersteuning bij verlening van zorg en praktijkvoering, verwijzing en samenwerking tussen zorgverleners. Het definitieve onderzoeksrapport vind je hier (de conclusie vind je terug in de management samenvatting). 
 
Op 5 oktober van 18.00 - 19.00 uur organiseren wij een vragenuur op het HZK kantoor voor de geïnteresseerde praktijkhouders. De inhoud van de DPIA zal dan kort worden toegelicht en daarna is er gelegenheid is tot het stellen van vragen. Hierbij zal ook een jurist van Dirkzwager aanwezig zijn. Aanmelden voor het vragenuur kan via deze link.
 
In de DPIA vind je ook antwoorden op de meest gestelde vragen over de data extractie, gebruik van HC en de AVG:

In 2021 konden we nog zelf patiënten invoeren in HealthConnected, waarom is HC in 2022 over gegaan op een nieuwe werkwijze?

• Binnen de gegevensuitwisseling via de destijds gebruikte OZIS koppeling was er maar beperkt ruimte tot optimalisatie van het administratieve proces. Een deel van de gegevens moest dubbel geregistreerd worden in het HIS en het NIS. Er werd door een grote meerderheid van de HZK gebruikers gevraagd dit aan te passen. 
• Daarnaast werd in 2021 aangekondigd dat deze landelijke koppeling zou komen te vervallen en data uitwisseling via OZIS op termijn niet meer mogelijk zou zijn. 

Waarom de keuze voor automatische HIS extracties?

• De OZIS koppeling die gebruikt werd is sinds 2020 landelijk uitgefaseerd en wordt niet meer ondersteund. Om gegevens uit te kunnen blijven wisselen tussen een HIS en een NIS is er nu alleen de keuze tussen data uitwisseling via het LSP ketenzorg of via automatische HIS extracties. 
• Overgaan op gegevensuitwisseling via LSP ketenzorg zou voor de praktijkhouders een extra administratieve last betekenen, voor opname in de LSP database moet toestemming gevraagd worden aan alle patiënten uit de praktijk.
• Het NIS kan met uitwisseling via LSP ketenzorg niet alle geformuleerde doeleinden ondersteunen. Als zorgverlener kan je dan bijvoorbeeld niet zelf kiezen welke data je mee stuurt met een verwijzing via HC.

Waarom is er geen toestemming van patiënten nodig bij data uitwisseling via HIS extracties?

• De gegevens blijven ook via het NIS alleen toegankelijk voor de medewerkers uit de huisartsenpraktijk (met inlog tot HC). De huisarts bepaalt vervolgens zelf welke gegevens gedeeld worden bij verwijzing naar andere zorgverleners. 
• De HOZK ontvangt alleen de gegevens voor de declaratielijsten van de regionaal gecontracteerde zorg (wettelijk verplichte set, hiervoor is geen toestemming nodig). 
• Toestemming is volgens de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplicht bij het gebruiken van een elektronisch uitwisselingssysteem. Het NIS van HealthConnected wordt hierin echter niet beschouwd als een elektronisch uitwisselingssysteem, omdat er alleen sprake is van ‘push’ verkeer (actief versturen van gegevens door praktijkmedewerker bij verwijzing). Er is geen sprake ‘pull’ verkeer, waarbij andere zorgverleners zelf gegevens kunnen ophalen uit de totale ptn database die is klaargezet (LSP).
• Ook voor de gegevensverwerking voor de landelijke benchmark is geen toestemming nodig van patiënten omdat deze anoniem is en de gegevens niet zijn te herleiden op patiënt niveau.

Wat is de rol van Zorg op Orde bij het NIS HealthConnected?

• In opdracht van HC maakt software leverancier ZOO automatische extracties uit het HIS. Tijdens de extracties worden gegevens van patiënten automatisch uit het HIS overgenomen in het NIS, waardoor er niet dubbel geregistreerd hoeft te worden. 
• Vanuit de extracties wordt het NIS (beheerd door HC) gevuld met relevante medische data die door ZOO verwerkt wordt tot praktijk ondersteunende rapportages. 
• Vanuit het NIS kan de ingelogde praktijkmedewerker de rapportages inzien, hierin doorklikken op patiënt niveau en medische informatie delen met zorgaanbieders waarnaar hij verwijst. 
• Voor HOZK verwerkt ZOO de gegevens tot declaratielijsten voor de regionaal gecontracteerde zorg en anonieme benchmark rapportages.

Met welk doel is deze DPIA uitgevoerd?

• Met dit Data Protection Impact Assessment (DPIA) brengt de HOZK, namens de aangesloten praktijkhouders en voor zichzelf, de risico’s van de verwerking van persoonsgegevens in het NIS HealthConnected in kaart. 
• Hierbij wordt beoordeeld in hoeverre de huidige maatregelen voldoen en welke aanvullende maatregelen genomen moeten worden, om de risico’s zoveel mogelijk te verminderen. 

Waar ligt de verantwoordelijkheid voor de verwerking in het NIS HealthConnected?

Er is sprake van een gezamenlijke verwerkersverantwoordelijkheid m.b.t. tot verwerkingen in het NIS:

• HOZK is verantwoordelijk voor de verwerkingen die noodzakelijk zijn op grond van de contracten met zorgverzekeraars en de verwerkingen die noodzakelijk zijn voor de uitvoering van de behandelingsovereenkomst die HOZK aangaat met de patiënt.
• De praktijkhouder is verantwoordelijk voor de verwerking van persoonsgegevens in het kader van de uitvoering van de huisartsenzorg. De praktijkhouder moet ervoor zorgdragen dat de juiste informatie wordt opgenomen in het HIS en de praktijkhouder is er ook verantwoordelijk voor dat hij bij het delen van gegevens met andere zorgaanbieders voldoet aan de toepasselijke wet- en regelgeving. Voor verwerkingen voor eigen doeleinden, zoals het jaarverslag en accreditatie, draagt de praktijkhouder verantwoordelijkheid.

Hoe weet ik zeker dat de gegevens niet door HOZK (of de verzekeraar) gebruikt worden voor andere doelen dan afgesproken?

• HOZK en de praktijkhouder zijn contractueel gebonden aan de vastgestelde doeleinden (doelbinding) van de verwerkingen in het NIS. 
• De verwerkingsdoeleinden zijn opgenomen in de overeenkomst inzake gezamenlijke verwerkingsverantwoordelijkheid tussen HOZK en praktijkhouder. Deze worden niet aangepast zonder dat de praktijkhouder hierover geïnformeerd is. 
• Bij bezwaar tegen een nieuw verwerkingsdoel zullen de gegevens van de betreffende praktijk niet meegenomen worden in deze verwerking. 
• De HOZK heeft beperkt toegang tot de gegevens, nl. de wettelijk verplichte set declaratiegegevens voor de verzekeraar.

Waarom worden de gegevens van al mijn patiënten opgenomen in het NIS?

Om de rapportages, overzichten en oproeplijsten voor de praktijk te kunnen maken is het nodig een selectie te kunnen maken op bijv. ICPC code, medicatie, kwetsbaarheid, etc. Dit is alleen mogelijk op de totale database.

Waarom worden alle gegevens van een patiënt opgenomen in het NIS?

Om de praktijkmedewerker zelf te kunnen laten kiezen welke informatie hij/zij meestuurt bij een verwijzing, zijn de HIS gegevens van de patiënt ook in het NIS beschikbaar voor de praktijk.

Waarom worden de financiële en medewerkersgegevens opgenomen in het NIS?

Op verzoek van groot aantal praktijkhouders worden er in het NIS ook rapportages gemaakt ter ondersteuning van het jaarverslag en accreditatie. Deze rapportages zijn net als de medische gegevens alleen inzichtelijk voor de praktijkmedewerkers die toegang hebben tot HealthConnected.

Is de HIS extractie en verwerking van al deze gegevens wel toegestaan door de AVG?

De AVG stelt een aantal eisen aan de verwerking van persoonsgegevens:
1.    Verwerking van persoonsgegevens moet gebaseerd zijn op een rechtsgrond. Aanwezige grondslagen voor het verwerken van persoonsgegevens in het NIS zijn: gerechtvaardigd belang, wettelijke plicht of (behandel)overeenkomst, toestemming (verwijzing).
 
2.    Persoonsgegevens mogen niet voor een ander doel gebruikt worden als oorspronkelijk verzameld. Gegevens uit het NIS worden niet voor een ander doel gebruikt dan oorspronkelijk verzameld in het HIS: opbouwen dossier voor goede hulpverlening, declareren van gecontracteerde zorg, ondersteunen van praktijkvoering.
 
3.    De omvang van de gegevensverwerking moet noodzakelijk en evenredig zijn voor het verwezenlijken van de doeleinden. Hiervoor wordt gekeken naar: 
o   Proportionaliteit (verhouding inbreuk privacy t.o.v. verwerkingsdoelen) 

• Inbreuk op privacy is klein want alleen medewerkers van de huisartsenpraktijk zien de gegevens (die ze ook via het HIS kunnen inzien). 
• Verwerking van de gegevens in het kader van ontvangen zorg en declaratie is door de patiënt te voorzien.
• De verwerking is noodzakelijk voor het behalen van de verwerkingsdoeleinden. 
• Gegevensverwerking via een gemeenschappelijk platform is de meest veilige en effectieve manier voor samenwerken in de zorg, financiële afhandeling en verantwoording daarvan.

o   Subsidiariteit (kan niet op een andere manier):

• Wekelijks zelf aanleveren van patiëntenlijsten door individuele praktijken is in alle redelijkheid geen geschikt alternatief om de gegevens in het NIS beschikbaar te maken.
• Dat praktijkmedewerkers zelf kunnen blijven bepalen met wie welke gegevens gedeeld worden (bij verwijzing), maakt dat de HIS extracties de voorkeur hebben boven het uitwisselen LSP ketenzorg
• Het is niet mogelijk om de verwerkginsdoeleinden op een andere manier te realiseren dan door het maken van een extractie van alle gegevenscategorieën per patiënt. Als praktijkmedewerker wil je alle relevante data mee kunnen sturen met een verwijzing.
• Voor het identificeren van de patiëntgroepen (ICPC, medicatie, kwetsbaarheid, etc.), waarvoor de verwerkingen gedaan moeten worden, zijn gegevens van de gehele patiëntpopulatie noodzakelijk. 
• De inbreuk op de persoonlijke levenssfeer en de bescherming van de persoonsgegevens van de betrokkenen staat in evenredige verhouding tot het verwezenlijken van de verwerkingsdoeleinden. 

 
4.    De rechten van betrokkenen moeten gewaarborgd worden. Omdat de registratie in het HIS plaatsvindt kan het recht op inzage, aanvulling, vergetelheid, beperking van verwerking daar uitgeoefend worden. Het recht op informatie wordt gedekt door het privacy statement op de website van de HOZK en praktijken. 
 
5.    Bijzondere persoonsgegevens (zoals medische data) mogen niet verwerkt worden tenzij hiervoor een uitzonderingsgrond aanwezig is. Verwerkingen in het NIS gebeuren op basis van de volgende uitzonderingsgronden; noodzakelijkheid voor de uitvoering van een behandelingsovereenkomst, gebaseerd op toestemming (verwijzing), gebaseerd op een wettelijke verplichting (declaratie en verantwoording).

Hoe vaak worden de HIS extracties gemaakt?

Dat verschilt per HIS; bij HealthConnected HIS is de data in het NIS meteen up to date, bij de meeste overige HISsen wordt eenmaal per week een extractie uitgevoerd om de gegevens zo actueel mogelijk te houden. 

Welke maatregelen zijn er genomen ter beveiliging van de gegevens en is diefstal/misbruik van gegevens hiermee helemaal te voorkomen?

• Bij het gebruik van een database met persoonsgegevens is er altijd het risico aanwezig op opzettelijk ongeoorloofde toegang door derden (hack); ook al is de kans klein, de impact is groot doordat het grote aantallen gegevens betreft.
• Na de genomen technische, organisatorische en/of juridische maatregelen is het (resterende) risico tot een acceptabel niveau teruggebracht. De NEN certificering van HC en ZOO toont aan dat passende beveiligingsmaatregelen zijn genomen. 

Hoelang blijven de gegevens bewaard in het NIS?

• Gegevens die in de database van ZOO staan worden na iedere volgende extractie vernietigd, met uitzondering van de data die nodig is voor vergelijking met, en declaratie van, het voorgaande jaar. 
• Na beëindiging van de dienstverlening door HC wordt data wordt nog 6 maanden bewaard voor nazorg: declaraties, jaarverslag verantwoording, indicatoren, hernieuwde dienstverleningsafspraak. Op verzoek van praktijkhouder of HOZK kan deze data door ZOO eerder vernietigd worden.
• Voor (verwijs)gegevens die in het NIS staan wordt door HC overgegaan tot verwijdering na toestemming van de HOZK/praktijkhouder, met in achtneming de van wet- en regelgeving rondom het medisch dossier

Er stond een bericht in het NRC over dataopslag van medische gegevens bij een commercieel bedrijf (VIP). Gebeurt dat ook bij HealthConnected?

• De medische gegevens die verzameld worden door een HIS, KIS of NIS worden nooit lokaal op een computer bewaard, maar opgeslagen in grote streng beveiligde data centers zoals Amazon Web Services (VIP, Zorg Op Orde), PinkRoccade (Pharmapartners), Azure (Omnihis), Cysco, etc. 
• Datecenters zijn net als de HIS, KIS en NIS leveranciers commerciële bedrijven en geen non-profit organisaties of stichtingen.

 
Voor vragen of opmerkingen kunt u contact opnemen met Anneliet Giebels: agiebels@hczk.nl.
 
Namens de ICT commissie:
Josephine de Vries, huisarts en voorzitter
Marieke Verlaan, huisarts en CMIO
Martijn Bakker, huisarts en CMIO
Mariette Willems, huisarts en CMIO
Femke Wijbenga, manager kwaliteit en digitalisering
Jaap Davids, beleidsmedewerker digitalisering & coördinator spoedzorg
Antos Zimmermann, beleidsmedewerker digitalisering
Jeroen Wouters, huisarts
David Peyrot, huisarts
Bart Duineveld, huisarts
Wessels Frederiks, huisarts