12-10-2023 | De opname door het Zorginstituut van een kwaliteitsregistratie in het landelijk register voor kwaliteitsregistraties (het Register) is gebonden aan voorwaarden die bij Wet en Ministeriële regeling bepaald zijn. Wij hebben gemerkt dat die voorwaarden nog niet voor iedereen duidelijk zijn. Graag informeren wij u daarom over hoe u zich hierop kunt voorbereiden en hoe het SSC-DG hierbij kan ondersteunen.
Eerste vereiste voor opname in het landelijk register voor kwaliteitsregistraties, is het advies van de Inhouds-governancecommissie (IGC) en de Data-governancecommissie (DGC), voortvloeiend uit hun toetsing van de KR. Zie voor meer informatie over dit proces de pagina’s over toetsing en aanvraagprocedure op de website van het SSC-DG.
Met dit advies dient de registratiehouder zijn aanvraag in bij het Zorginstituut. Het Zorginstituut beoordeelt de aanvraag van een KR op basis van dit advies én op basis van een onafhankelijk uitgevoerde Gegevensbeschermingseffect-beoordeling (GEB of DPIA).
Zolang de gewijzigde Wkkgz nog niet van kracht is, toetsen IGC en DGC de huidige situatie waarin zorgorganisaties de verwerkingsverantwoordelijken zijn. Een aantal criteria wijzigt echter nadat de Wkkgz van kracht wordt en de registratiehouders verwerkingsverantwoordelijken worden. Die wijzigingen zijn ook vermeld in de toetsingscriteria (vóór en na wijziging Wkkgz). Het Zorginstituut beoordeelt de toetsingscriteria die gelden ná wijziging Wkkgz. Immers, pas met het ingaan van de gewijzigde Wkkgz verkrijgt het Zorginstituut de wettelijke rol van beheerder van het register voor KRs. Dat betekent dat, met name de DGC, een aantal criteria opnieuw of aanvullend moet toetsen en van advies moet voorzien, alvorens de KR de definitieve aanvraag kan indienen voor opname in het Register bij het Zorginstituut.
Voor een aantal van de criteria die her- of aanvullend getoetst moeten worden, kunt u al op korte termijn starten met de voorbereidingen. Het SSC-DG kan u hierbij ondersteunen. Zo biedt zij een werkgroep die de eisen die gesteld worden aan pseudonimiseren, vertalen naar een implementatieplan en handreikingen voor zowel zorgaanbieders als registratiehouders. De komende weken gaat het SSC-DG hierover uitgebreid communiceren.
Een andere werkgroep heeft standaardovereenkomsten opgesteld die de huidige overeenkomsten vervangen, die wijzigen als gevolg van de verschuiving van de rol van verwerkingsverantwoordelijke van zorgaanbieder naar registratiehouder. Deze werkgroep heeft daarnaast templates opgesteld voor de DPIA en het verwerkingsregister. De werkgroep bestond uit vertegenwoordigers van zorgorganisaties (NFU, NVZ), kwaliteitsregistraties, (SKR) en dataverwerkers (SDV). De overeenkomsten en templates ondergaan momenteel (oktober) een laatste juridische controle en worden vervolgens beschikbaar gesteld aan de toekomstige gebruikers. Voor de ondersteuning bij het gebruik hiervan worden zogenaamde ‘playbooks’ (handleidingen) ontwikkeld. Ook hierover leest u binnenkort meer.
De registratiehouder moet als verwerkingsverantwoordelijke zijn informatie-beveiligingsbeleid in overeenstemming brengen met de ISO27001 norm. Dit informatiebeveiligingsbeleid moet proportioneel zijn met de mate van gegevensverwerking die de registratiehouder zelf uitvoert, dus los van de gegevensverwerking die de verwerker uitvoert. Hoe u dit kunt realiseren, leest u binnenkort op deze website.
De verschuiving van de rol van verwerkingsverantwoordelijke van de zorgaanbieder naar de registratiehouder betekent dat de registratiehouder een Functionaris Gegevensbescherming (FG) moet aanstellen voor het toezicht op de naleving van de AVG (een van de toetsingscriteria). Ook hierin kan het SSC-DG ondersteunen en volgt binnenkort meer informatie.
Tot slot moet de Registratiehouder zodra de Wkkgz van kracht gaat een DPIA uitgevoerd en op schrift beschikbaar hebben. Aan deze DPIA heeft het Zorginstituut eisen verbonden. Het SSC-DG biedt ondersteuning bij het verkrijgen van een onafhankelijk getoetste DPIA. Uitgebreidere informatie hierover leest u hieronder.
De verwerkingsverantwoordelijke is verantwoordelijk voor uitvoering van de DPIA. Tot aan de wijziging van de Wkkgz is dat de zorgaanbieder. De DPIA die momenteel in de toetsing wordt beoordeeld, heeft daarom uitsluitend betrekking op de verwerking die bij de verwerker plaats vindt. Na wijziging van de Wkkgz wordt de registratiehouder verwerkingsverantwoordelijke en daarmee ook verantwoordelijk voor het uitvoeren van de DPIA. Dat betekent dat de DPIA die tot aan de wijziging van de Wkkgz betrekking heeft op de verwerker, aangevuld moet worden met de informatie die specifiek betrekking heeft op de registratiehouder. Het SSC-DG zal binnenkort een overzicht geven van de informatie die de registratiehouder aan de DPIA van de verwerker moet toevoegen.
Een belangrijk punt is dat de registratiehouder verplicht is om advies te vragen aan de (nog aan te stellen) FG. Deze FG (van de registratiehouder) adviseert over de totale DPIA, dus ook over het deel dat betrekking heeft op de verwerker van de registratiehouder.
In de concept wet- en regelgeving voor KRs is bepaald dat de DPIA onafhankelijk beoordeeld moet worden. In de afgelopen maanden heeft het SSC-DG gesprekken gevoerd met VWS en Zorginstituut over wat dat betekent en hoe zo’n onafhankelijke beoordeling uitgevoerd kan worden. De uitkomst van die gesprekken is dat het SSC-DG die onafhankelijke beoordeling gaat organiseren en coördineren. De DGC heeft inmiddels met deze werkwijze ingestemd en dit wordt ook opgenomen in de Ministeriële regeling.
Globaal ziet het proces van de onafhankelijke beoordeling er als volgt uit:
Tot slot, kunt u bij vragen hierover en andere onderdelen van het toetsingsproces terecht bij onze Servicedesk of via ons contactformulier.
"(Verplicht)" geeft vereiste velden aan
Partijen in de medisch-specialistische zorg werken samen aan meer regie op kwaliteitsregistraties. Via deze website wordt u op de hoogte gehouden van de ontwikkelingen.
Shared Service Center
Data Governance
Postadres:
Postbus 9696
3506 GR Utrecht
Bezoekadres:
Oudlaan 4
3515 GA Utrecht