Zorgaanbieders

Hoe bereid ik me als zorgaanbieder voor op de nieuwe eisen Wkkgz?

Hoewel de nieuwe Wkkgz pas najaar 2024 in werking zal treden, kunt u nu al een aantal stappen zetten. Hierdoor bent u straks op tijd klaar om te kunnen voldoen aan de eisen. Hieronder leest u welke stappen dat zijn en hoe het SSC-DG hierbij ondersteunt. 

Aanvullen…ur rol verandert naar die van verwerkingsverantwoordelijke

Direct aan de slag

Om goed voorbereid te zijn op de gestelde eisen van de nieuwe wet Wkkgz, kunt u zich nu al voorbereiden. Zo moet u zodra de wet in werking treedt, verplicht aan de bron gepseudonimiseerde patiëntgegevens aanleveren aan de in het landelijk register opgenomen kwaliteitsregistraties. Hoe u aan de gewenste pseudonimiseringseisen kunt voldoen, leest u onder andere in onderstaande handreiking. 

Het wetsvoorstel

In het wetsvoorstel wordt een wettelijke grondslag gecreëerd voor kwaliteitsregistraties om gepseudonimiseerde (bijzondere) persoonsgegevens te mogen verwerken. Deze grondslag geldt alleen voor kwaliteitsregistraties die Zorginstituut Nederland heeft opgenomen in het, ook bij dit wetsvoorstel te regelen, nieuwe landelijk register voor kwaliteitsregistraties. Bij een unaniem positief advies van zowel de Inhouds-governancecommissie (IGC) als de Data-governancecommissie (DGC) is de kans groot dat de kwaliteitsregistratie in het register wordt opgenomen. 

Wanneer een kwaliteitsregistratie is opgenomen in het register, hebben alle zorgaanbieders de wettelijke plicht de gevraagde gegevens aan te leveren aan de desbetreffende kwaliteitsregistratie. Ook krijgt de in het register opgenomen kwaliteitsregistratie een wettelijke grondslag voor de verwerking van gepseudonimiseerde (bijzondere) persoonsgegevens. De kwaliteitsregistratie maakt bovendien aanspraak op structurele financiering. Zodra meer bekend is over de procesgang van deze aanvraag, wordt dit gedeeld op deze website.

Verschuivingen in rollen

De wet zorgt voor verschuivingen in rollen  voor de kwaliteitsregistraties die in het register worden opgenomen: 

  • Voor kwaliteitsregistraties wordt een uitzondering gecreëerd op het verwerkingsverbod van artikel 9 lid 1 van de AVG. Hiermee krijgen kwaliteitsregistraties een wettelijke grondslag voor het verwerken van (bijzondere) persoonsgegevens, waar zij die nu niet hebben.
  • Verwerkers die gegevens verwerken voor kwaliteitsregistraties doen dat nu doorgaans in opdracht van de zorgaanbieder (die ‘Verwerkingsverantwoordelijke’ is). Na invoering van de wetswijziging wordt de zorgaanbieder ‘verstrekker’ van gegevens en de registratiehouder ‘verwerkingsverantwoordelijke’. De kwaliteitsregistratie bepaalt dan het doel en de middelen van de verwerking. De Verwerker wordt vervolgens verwerker voor de registratiehouder.


De verantwoordelijkheid voor de (persoons)gegevensverwerking komt daarmee bij de registratiehouder te liggen (in plaats van bij de zorgaanbieder). Zorgaanbieders worden ‘verstrekkers’ van (persoons)gegevens en hebben (na verstrekken), in de zin van de AVG, geen enkele verantwoordelijkheid voor de nadere verwerking van die gegevens door de registratiehouder ten behoeve van de kwaliteitsregistraties. Er ontstaat dus
geen gezamenlijke verwerkingsverantwoordelijkheid van zorgaanbieder en registratiehouder (zoals door sommigen werd verwacht).  

Verwachte gevolgen voor de verschillende partijen

De directe gevolgen op juridisch gebied voor zorgaanbieders voor de kwaliteitsregistraties die zijn opgenomen in het register:  

  • Zorgaanbieders worden verplicht om rechtmatig, zonder toestemming van de cliënt, (bijzondere) persoonsgegevens te verstrekken aan kwaliteitsregistraties
  • Er is geen verwerkersovereenkomst meer nodig tussen zorgaanbieder en verwerker van de gegevens voor de kwaliteitsregistratie
  • Er is geen deelnameovereenkomst meer nodig tussen zorgaanbieder en registratiehouder
  • Er is geen hoofdovereenkomst meer nodig tussen zorgaanbieder en verwerker van de gegevens voor de kwaliteitsregistratie. Dit betekent:
    • Aanmerkelijk verlichting van de administratieve lasten bij zorgaanbieders die verwerkersovereenkomsten afsluiten;
    • Organisatorisch lastenverlichting voor zorgaanbieders doordat zij geen toezicht meer hoeven te houden op en geen verantwoordelijkheid meer hoeven te nemen voor de Verwerkers die zijn ingeschakeld om de gegevensverwerking voor de kwaliteitsregistraties uit te voeren.
  • Wel nodig is een dienstverleningsovereenkomst tussen registratiehouder en zorgorganisatie
  • De zorgaanbieder is verantwoordelijk voor de pseudonimisering van de te verstrekken gegevens. Zo kunnen de registratiehouder en verwerker niet beschikken over de sleutel van de gepseudonimiseerde gegevens of de ongepseudonimiseerde gegevens;
    • Bij voorkeur wordt hiervoor een Trusted Third Party (TTP) ingeschakeld,
    • Om alsnog op patiëntniveau koppelingen mogelijk te maken van gegevens afkomstig van meerdere bij het zorgproces betrokken zorgverleners is regie op de pseudonimiseren noodzakelij Dit proces moet nog worden ingericht.

 

Een direct gevolg op praktisch/organisatorisch vlak voor de kwaliteitsregistraties die zijn opgenomen in het register:

  • Zorgorganisaties zijn verplicht de gevraagde data-aanlevering te organiserenvoor de kwaliteitsregistraties die zijn opgenomen zijn in het register van het Zorginstituut.

Bij de verstrekking van de gegevens door Verstrekker aan de Verwerker moet gebruik gemaakt worden van een Trusted Third Party (TTP): 

  • Gegevens moeten aan de bron gepseudonimiseerd worden;
  • Om alsnog op patiëntniveau koppelingen mogelijk te maken van gegevens afkomstig van meerdere bij het zorgproces betrokken zorgverleners is regie op de pseudoniemen noodzakelijk.
  • Dit betekent dat dit proces ingericht moet worden!

N.B. De wet is nog niet definitief vastgesteld. We baseren de informatie op deze pagina op het gepubliceerde voorstel voor de wetswijziging (het consultatiedocument). Op advies is het wetvoorstel op sommige punten aangepast, zodra hier meer bekend over is wordt deze pagina geüpdatet.