Document toolboxDocument toolbox

(MedMij Afsprakenstelsel 2.1.1) Privacy- en informatiebeveiligingsbeleid


Aangezien gezondheidsgegevens van personen erg privacygevoelige gegevens zijn, zijn privacy en informatiebeveiliging belangrijke thema's binnen Stichting MedMij. De privacy en informatieveiligheid is, in aanvulling op de wet- en regelgeving die per definitie van toepassing is op de deelnemer, op drie manieren geborgd in het stelsel:

Stichting MedMij voert de regie over het in kaart brengen van privacy- en informatiebeveiligingsrisico's die individuele deelnemers overstijgen (stelselrisico's) en doet voorstellen voor maatregelen. Hiervoor voeren we jaarlijks een (MedMij Afsprakenstelsel 2.1.1) Risicoanalyse uit. Ook wordt, als de aard, omvang of context van de gegevensuitwisselingen binnen het MedMij-netwerk of direct daaraan gerelateerde verwerkingen significant verandert, opnieuw een Privacy Impact Assessment (PIA) uitgevoerd. Op basis van deze risicoanalyse en/of PIA worden maatregelen heroverwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het (MedMij Afsprakenstelsel 2.1.1) Normenkader informatiebeveiliging en de (MedMij Afsprakenstelsel 2.1.1) Architectuur en technische specificaties. We laten (nieuwe) afspraken zoveel mogelijk aansluiten bij eisen van andere stelsels en hergebruiken bestaande certificeringen om de implementatie-, financiële en administratieve lasten voor deelnemers zoveel mogelijk te beperken.

Samen met de deelnemers zorgt Stichting MedMij ook op andere manier voor de privacy en informatiebeveiliging van het stelsel. Stichting MedMij en elke afzonderlijke deelnemer wijzen een verantwoordelijke aan voor privacy en informatiebeveiliging (zie (MedMij Afsprakenstelsel 2.1.1) Normenkader informatiebeveiliging). Tussen deze verantwoordelijken is minimaal vier keer per jaar overleg. Hieromheen is een incidenten- en calamiteitenprocedure en een proces beheren technische kwetsbaarheden ingericht, zodat duidelijk is wat er van de verschillende partijen wordt verwacht in noodsituaties (zie (MedMij Afsprakenstelsel 2.1.1) Operationele processen). Deelnemers zijn verantwoordelijk voor het doorgeven van de juiste contactpersoon en informeren Stichting MedMij bij wijzigingen.

Ten slotte zorgt Stichting MedMij verder voor afstemming over privacy en veiligheid met bestaande partijen en ontwikkelingen in de zorg, en volgen we de belangrijkste internationale ontwikkelingen.