Met het wetsvoorstel voor de wijziging van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) wordt een wettelijke grondslag geregeld voor de verwerking van gepseudonimiseerde persoonsgegevens door kwaliteitsregistraties in de medisch-specialistische zorg.
Na ingang van de gewijzigde Wkkgz bepaalt de wet dat:
In de memorie van toelichting bij het wetsvoorstel staat: “Om de kwaliteit van de kwaliteitsregistratie te kunnen waarborgen, kan het nodig zijn dat de kwaliteitsregistratie, al dan niet via de door hem ingeschakelde gegevensverwerker, de zorgaanbieder om aanvulling of verbetering van reeds ingezonden gegevens verzoekt. In die gevallen kan gebruik worden gemaakt van omkeerbare (ook wel ’tweeweg’) pseudonimisering. Voor deze toepassing van pseudonimisering is het noodzakelijk om gebruik te maken van een TTP.”
In het kader van de wettelijke verplichtingen rondom pseudonimiseren heeft het SSC-DG de projectgroep Pseudonimisering gezondheidsgegevens voor veilig en efficiënt hergebruik opgericht. Hierin zitten vertegenwoordigers van ZorgTTP, de SDV, de NVZ, de NFU en het SSC-DG.
De projectgroep vertaalt (onder andere) bovenstaande bepalingen en begrippen uit de Wkkgz naar een implementatiestrategie voor zorgaanbieders, registratiehouders en dataverwerkers. Deze strategie ondersteunt bij het realiseren van een concreet werkende inrichting voor het pseudonimiseren van gezondheidsgegevens, die voldoet aan de wettelijke eisen én rekening houdt met een bredere toepassing voor hergebruik.
Met het project worden de volgende vier resultaten beoogd:
De beoogde resultaten worden hieronder nader toegelicht.
Relevante termen met betrekking tot pseudonimisering worden door de projectgroep in begrijpelijke taal uitgelegd en daarna opgenomen in een terminologiebestand: de landelijke Thesaurus Data voor de Zorg (TDZ). Deze thesaurus is onderdeel (een subset) van de online Thesaurus Zorg en Welzijn (TZW). Inmiddels is een groot aantal termen met betrekking tot pseudonimiseren opgenomen in de TWZ.
Planning: De vulling van de TDZ met relevante termen loopt door tot het einde van het project.
Het projectteam werkt aan de handreiking Pseudonimisering voor gegevensaanlevering aan kwaliteitsregistraties. Het eerste deel van deze handreiking (fase 1 van het project) is in januari 2024 opgeleverd; deze bevat uitleg over het wettelijk kader, de betekenis en de impact van pseudonimiseren voor zorgaanbieders, registratiehouders en dataverwerkers. U vindt de handreiking op deze pagina, onder het kopje Pseudonimisering.
In fase 2 wordt voor elk van de betrokken partijen (zorgaanbieders en registratiehouders/verwerkers) een implementatieplan geschreven. Het implementatieplan beschrijft de acties en stappen die een zorgaanbieder of een registratiehouder/verwerker moet uitvoeren om te voldoen aan de eisen die aan pseudonimisering zijn gesteld.
Om de implementatieplannen vorm te geven, loopt er momenteel een pilot waarbij het hele aanleverproces wordt getest, inclusief het omkeren van het pseudoniem naar de identificeerbare persoon bij de zorgaanbieder.
In het implementatieplannen voor de zorgaanbieders worden onder andere de volgende onderwerpen uitgewerkt:
In het implementatieplan voor de registratiehouders/verwerkers worden onder andere de volgende onderwerpen uitgewerkt:
Planning: De projectgroep heeft fase 1 van de handreiking (zie het kopje Pseudonimisatie) begin 2024 opgeleverd. De resultaten van de pilot (fase 2) komen in Q3 2024 beschikbaar en worden vervolgens vertaald in een implementatieplan voor elk van de betrokken partijen. Deze plannen zijn in Q4 2024 beschikbaar.
Pseudonimisering is een belangrijke ‘privacy by design’ maatregel om de privacy en rechten van betrokkenen te beschermen. Voor omkeerbare pseudonimisering, waarbij het mogelijk is de originele identificerende waarde van gegevens terug te krijgen, vereist de wet dat gebruik wordt gemaakt van een Trusted Third Party (TTP). Een TTP is een entiteit die interacties mogelijk maakt tussen twee partijen die beiden de derde partij vertrouwen.
De projectgroep werkt aan het opstellen van een programma van eisen met daarin de technische en organisatorische eisen waaraan een TTP moet voldoen. Het doel van dit programma van eisen is het benoemen van de minimale eisen waaraan een TTP als uitvoerder en de pseudonimisering als dienst moeten voldoen.
Dit programma van eisen zorgt ervoor dat de door de TTP geleverde pseudonimiseringsdienst maximaal bijdraagt aan het beperken van de risico’s voor de rechten en vrijheden van de personen die in de registratie zijn opgenomen.
Planning: Het eerste concept van het programma van eisen wordt in Q3 2024 ter consultatie aangeboden aan experts op het gebied van pseudonimiseren. De resultaten komen in Q4 2024 beschikbaar.
Tot slot werkt de projectgroep aan een notitie ten behoeve van overleg met VWS. In deze notitie worden de taken en verantwoordelijkheden van de betrokken partijen eenduidig vastgesteld en worden voorstellen gedaan voor de bekostiging van de pseudonimiseringsdienst. Het doel is om via deze notitie verduidelijking van de ministeriële regeling te bewerkstelligen.
Planning: De notitie wordt in Q4 2024 opgeleverd.
Projectleiders: Marit Timmers en Marlijn Lunenborg
Projectgroep: Afgevaardigden van ZorgTTP, de SDV, de NVZ, de NFU en het SSC-DG.
Heeft u vragen over dit project, neem dan contact op via info@ssc-dg.nl.
Partijen in de medisch-specialistische zorg werken samen aan meer regie op kwaliteitsregistraties. Via deze website wordt u op de hoogte gehouden van de ontwikkelingen.
Shared Service Center
Data Governance
Postadres:
Postbus 9696
3506 GR Utrecht
Bezoekadres:
Oudlaan 4
3515 GA Utrecht