(MedMij Afsprakenstelsel 2.2.2) Privacy- en informatiebeveiligingsbeleid
- Martin Wilmink
Aangezien gezondheidsgegevens van personen erg privacygevoelige gegevens zijn, zijn privacy en informatiebeveiliging belangrijke thema's binnen Stichting MedMij. De privacy en informatieveiligheid is, in aanvulling op de wet- en regelgeving die per definitie van toepassing is op de deelnemer, op drie manieren geborgd in het stelsel:
- Door de gegevensuitwisseling tussen deelnemers in hoge mate van detail te beschrijven en belangrijke maatregelen op het gebied van privacy en informatiebeveiliging hierin op te nemen (zie de (MedMij Afsprakenstelsel 2.2.2) Architectuur en technische specificaties);
- Door strenge eisen te stellen aan de privacy en informatiebeveiliging van deelnemers in het eigen domein (zie het (MedMij Afsprakenstelsel 2.2.2) Normenkader informatiebeveiliging);
- Door onder verantwoordelijkheid van Stichting MedMij aanvullende procedures in te richten, zoals de toetsing van deelnemers op het nakomen van de (privacy- en informatiebeveiligings)afspraken bij toetreding en gedurende deelname (zie onder andere (MedMij Afsprakenstelsel 2.2.2) Toetredingsbeleid en (MedMij Afsprakenstelsel 2.2.2) Nalevingsbeleid).
Stichting MedMij voert de regie over het in kaart brengen van privacy- en informatiebeveiligingsrisico's die individuele deelnemers overstijgen (stelselrisico's) en doet voorstellen voor maatregelen. Hiervoor voeren we jaarlijks een (MedMij Afsprakenstelsel 2.2.2) Risicoanalyse uit. Ook wordt, als de aard, omvang of context van de gegevensuitwisselingen binnen het MedMij-netwerk of direct daaraan gerelateerde verwerkingen significant verandert, opnieuw een Privacy Impact Assessment (PIA) uitgevoerd. Op basis van deze risicoanalyse en/of PIA worden maatregelen heroverwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het (MedMij Afsprakenstelsel 2.2.2) Normenkader informatiebeveiliging en de (MedMij Afsprakenstelsel 2.2.2) Architectuur en technische specificaties. We laten (nieuwe) afspraken zoveel mogelijk aansluiten bij eisen van andere stelsels en hergebruiken bestaande certificeringen om de implementatie-, financiële en administratieve lasten voor deelnemers zoveel mogelijk te beperken.
Samen met de deelnemers zorgt Stichting MedMij ook op andere manier voor de privacy en informatiebeveiliging van het stelsel. Stichting MedMij en elke afzonderlijke deelnemer wijzen een verantwoordelijke aan voor privacy en informatiebeveiliging (zie (MedMij Afsprakenstelsel 2.2.2) Normenkader informatiebeveiliging). Tussen deze verantwoordelijken is minimaal vier keer per jaar overleg. Hieromheen is een incidenten- en calamiteitenprocedure en een proces beheren technische kwetsbaarheden ingericht, zodat duidelijk is wat er van de verschillende partijen wordt verwacht in noodsituaties (zie (MedMij Afsprakenstelsel 2.2.2) Operationele processen). Deelnemers zijn verantwoordelijk voor het doorgeven van de juiste contactpersoon en informeren Stichting MedMij bij wijzigingen.
Ten slotte zorgt Stichting MedMij verder voor afstemming over privacy en veiligheid met bestaande partijen en ontwikkelingen in de zorg, en volgen we de belangrijkste internationale ontwikkelingen.Â