Project – Pseudonimisering van gezondheidsgegevens voor veilig en efficiënt hergebruik

Door de wetswijziging in de Wkkgz wordt pseudonimiseren van gezondheidsgegevens door de zorgorganisatie vóór aanlevering aan de kwaliteitsregistratie verplicht. De projectgroep ‘Pseudonimisering gezondheidsgegevens voor veilig en efficiënt hergebruik’ van het SSC-DG vertaalt de juridische bepalingen en begrippen uit de Wkkgz naar een implementatiestrategie voor zorgaanbieders, kwaliteitsregistraties en dataverwerkers. Deze strategie is gericht op het faciliteren en realiseren van een concreet werkende inrichting voor het pseudonimiseren van te verstrekken gezondheidsgegevens, die primair voldoet aan de eisen van de Wkkgz en bovendien rekening houdt met een veel bredere toepassing van pseudonimiseren van gezondheidsgegevens voor hergebruik.

Scope van het project en beoogde resultaten

Voor de vertaling van de juridische bepalingen en begrippen uit de Wkkgz naar een implementatie-strategie, is een aantal stappen van belang:
1. Identificeren van de relevante stakeholders.
Dit zijn de organisaties die verantwoordelijk zijn voor de uitvoering van de juridische eisen en/of waarop de juridische eisen van toepassing zijn. Het is belangrijk om voor deze stakeholders de behoeften, de verwachtingen en de impact van de verplichting tot pseudonimiseren te kennen.

2. Begrijpen van de juridische eisen.
Zorgdragen voor overeenstemming bij alle relevante stakeholders over de intentie en interpretatie van de bepalingen.

3. Ontwikkelen van een implementatieplan.
Dit plan beschrijft de specifieke stappen die nodig zijn om de bepalingen uit de Wkkgz uit te voeren.

4. Ontwikkelen van een communicatieplan.

Op te leveren resultaten

Ad 1: Overzicht stakeholders
• Overzicht inclusief hun rol en verantwoordelijkheden en eventuele impact van de verplichting tot pseudonimiseren.

Ad 2: Begrijpen van de juridische eisen
• Er is (bij alle stakeholders) een sterke behoefte aan éénduidige interpretatie en toepassing van termen die gebruikt worden binnen het – op de kwaliteitsregistraties betrekking hebbende – wettelijk kader. De projectgroep heeft een aantal maal gevraagd en ongevraagd advies gegeven aan VWS over het begrippenkader en hoe dit te verduidelijken. In een apart project wordt gewekt aan een thesaurus, al dan niet onder de thesaurus ‘Zorg-en-Welzijn’. Alhoewel de thesaurus geen directe deliverable is van deze projectgroep, levert de projectgroep met haar adviezen en terminologie-verduidelijkingen wel een belangrijke bijdrage (resultaat) aan de thesaurus-werkgroep.
> Planning: doorlopende activiteit

• Naast duiding omtrent de gebruikte begrippen, is duiding ook in de bredere zin van het woord van belang. Hiervoor heeft de projectgroep de algemene hoofdstukken van de handreiking voor zorgaanbieders, registratiehouders en dataverwerkers opgesteld.
>Planning: Q1 2024

Ad 3: Implementatieplan
Het ontwikkelen van een implementatieplan is het hoofddoel van deze projectgroep. Middels het implementatieplan wil het SSC-DG de geïdentificeerde stakeholders met concrete handvatten faciliteren bij de benodigde implementatie. De (hoofd)stakeholders zijn geïdentificeerd en de theoretische implementatiescenario’s uitgedacht. In 2024 zal middels een door de DGC goedgekeurde pilot de praktische werkbaarheid van de scenario’s vastgesteld worden. De resultaten van de pilot worden verwerkt tot een concreet implementatieplan voor zorgaanbieders, registratiehouders en dataverwerkers. Dit implementatieplan kent in ieder geval de volgende onderwerpen:

De Trusted Third Party (TTP)
Een van de vereisten uit de wet is om te kunnen garanderen dat de data met de juiste technische en organisatorische maatregelen koppelbaar blijft, ook in de toekomst. Om dit te kunnen garanderen, kunnen zorgaanbieders voor het pseudonimiseren het beste gebruik maken van een TTP.
VWS heeft enkele jaren geleden al opdracht gegeven om een openbare methode voor pseudonimisatie te ontwikkelen, die gereed is en op te vragen is door TTP partijen. Op dit moment voorziet de projectgroep dat een uniform gebruik van deze methodiek gewenst is om onder andere de koppelbaarheid te kunnen garanderen en voor de zorg belangrijke use cases te blijven ondersteunen. Hierbij stelt de projectgroep dat een van de vereisten bij gebruik van deze openbare methode is dat deze methodiek samen moet kunnen gaan met innovatieve technieken op het gebied van pseudonimisatie. Bijvoorbeeld ten behoeve van aanvullende doeleinden zoals onderzoek. De openbare methode lijkt hieraan te voldoen voor zover tot op heden vastgesteld kan worden.

In het implementatieplan is verder uitgewerkt:
• Criteria waaraan een Trusted Third Party moet voldoen;
• Functionele eisen pseudonimisatiedienst;
• Kwaliteitseisen pseudonimisatiedienst.
> Planning: gereed voor consultatie Q3 2024

Pseudonimiseringsproces
Naast bovengenoemde vereisten is ook het in te richten pseudonimiseringsproces van belang. Hiervoor werkt de projectgroep het volgende uit:
• Opstellen handreikingen, procedures, en werkinstructies voor: zorgorganisaties;, Registratiehouders/ en verwerkers;
• Aanleverspecificaties voor het gebruik van; FHIR / CSV / XML en rekening houdend met zowel batch (push en pull) als (nog) handmatige invoer.
• Handleiding pseudonimisatieservice voor lokale installatie en een webservice.
• Resultaten van de pilot (do’s and don’ts)
• Handleiding inrichten Identity management;
• Handleiding inrichten proces van reïdentificatie voor zorgaanbieders;
• Procedure voor pseudonimiseren historische data;
> Planning: Q4 2024 

Advies
• Handleiding contractering TTP en standaard contract;
• Organiseren van regie op pseudonimisatiesleutels;
• Centrale financiering (nutsvoorziening);
> Planning: Q4 2024

• Advies bij concrete pseudonimiseringsvraagstukken vanuit zorgaanbieders, VWS, ZINL, NZa, Registratiehouders, Dataverwerkers of andere betrokken veldpartijen. Bijvoorbeeld de vragen vanuit de expert community. Zie hiervoor het nieuwsbericht inclusief Q&A hierover.
> Planning: doorlopend proces

Ad 4: Ontwikkelen communicatieplan
• Doorlopend proces 

Projectorganisatie

Projectleider:
Marit Timmers

Projectgroep/kerngroep:
Afgevaardigden van de volgende organisaties: Zorg TTP, SDV, NVZ, NFU en SSC-DG.

Vragen?

Heeft u vragen over bovenstaande, neem dan gerust contact op met m.timmers@ssc-dg.nl

Zodra deze pagina is gevuld met meer informatie, brengen we u daarvan op de hoogte middels onze nieuwsbrief.