aug 30, 2019 | AVG, Privacy, Pseudonimiseren, ZorgTTP
Zorgvisie besteedt in een artikel aandacht aan de nieuwe NEN7524 norm die met inbreng van ZorgTTP tot stand is gekomen. Goede pseudonimisatie vereist een professionele aanpak. In het artikel licht ZorgTTP adviseur Thomas Waslijah toe dat de norm duidelijkheid biedt aan zowel aanbieder als afnemer van de dienst. Leveranciers die aan deze norm voldoen geven aantoonbare zekerheid aan hun afnemers over de opzet en kwaliteit van de geboden oplossing gedurende de gehele dienstverleningsrelatie tussen aanbieder en afnemer. De geboden duidelijkheid is een belangrijke bijdrage aan het operationaliseren van de brede en technologie onafhankelijke definitie voor pseudonimisering uit de Algemene Verordening Gegevensbescherming (AVG).
Lees het volledige artikel in Zorgvisie (account vereist).
De norm kan worden aangeschaft via de NEN normshop.
Meer weten over onze dienstverlening? Neem contact op met een van onze adviseurs!
jul 31, 2019 | AVG, Informatiebeveiliging, Privacy, Pseudonimiseren, ZorgTTP
De norm voor pseudonimisatiedienstverlening is gepubliceerd door NEN. De Nederlandse norm, NEN 7524, is opgesteld door gebruikers en leveranciers van pseudonimisatiediensten en is nu beschikbaar in de NEN webshop.
Om (zorg)gegevens ethisch en wettelijk verantwoord te mogen gebruiken voor onderzoek, worden de gegevens gepseudonimiseerd. Dit betekent dat een vertrouwde onafhankelijke partij de gegevens verwijdert die herleidbaar zijn tot de patiënt en deze vervangt door een pseudocode. Voor onderzoekers en epidemiologen zijn deze gegevens interessant, bijvoorbeeld om de trends in ziekteprevalentie te bepalen of het effect van gezondheidsprogramma’s te monitoren.
NEN 7524
Het doel van de norm is:
- privacy van de patiënten te respecteren;
- beschikbaarheid van de gegevens over langere tijd veilig te stellen;
- transparantie en betrouwbaarheid van de diensten te verbeteren;
- overstappen naar een andere dienstverlener mogelijk te maken.
(bron: persbericht NEN)
De Autoriteit Persoonsgegevens en pseudonimisatie
De Autoriteit Persoonsgegevens (AP) stelt met betrekking tot pseudonimisatie:
Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Bij pseudonimiseren van persoonsgegevens kunnen gegevens alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens.
Pseudonimisering van persoonsgegevens is een verwerking van persoonsgegevens waarbij u zich nog steeds moet houden aan de Algemene verordening gegevensbescherming (AVG). Bij pseudonimisering moet u technische en organisatorische maatregelen nemen om ervoor te zorgen dat onbevoegden de koppeling met het bestand met aanvullende gegevens niet kunnen maken.
(bron: Autoriteit Persoonsgegevens)
ZorgTTP en NEN 7524
ZorgTTP is actief betrokken geweest bij de ontwikkeling van deze norm. De komende tijd wordt ondersteuning van de NEN 7524 norm door ZorgTTP voorbereid. Zodra een certificeringsschema beschikbaar is wordt een onafhankelijke deskundige partij gevraagd een certificeringsaudit uit te voeren. Daarmee maken we de kwaliteit van de door ons geboden technische en organisatorische maatregelen aantoonbaar en helpen we onze opdrachtgevers te voldoen aan de AVG.
Voor vragen kunt u contact opnemen met Hans van Vlaanderen, directeur ZorgTTP. Dat kan via 030-6360649 of info@zorgttp.nl.
jun 11, 2018 | AVG, Informatiebeveiliging, Pseudonimiseren
KIWA heeft per 15 juni 2018 ZorgTTP het ISO27001-certificaat verleend. Per juli 2019 is ook het NEN7510 certificaat verleend door KIWA. De certificeringen bevestigen dat wij systematisch en aantoonbaar aandacht besteden aan de beveiliging van onze dienstverlening.
Aantoonbaar in control
Bij verwerking van persoonsgegevens is ISO-certificering belangrijk om aantoonbaar in control te zijn op het gebied van informatiebeveiliging. Voor ZorgTTP is dit een logische stap. De AVG stelt hoge eisen aan de beveiliging van persoonlijke data. Als Trusted Third Party laten we zien hiermee voorop te lopen. Met het ISO27001-certificaat tonen we twee zaken aan. Eén dat we structureel onderzoeken welke risico’s wij lopen bij onze dienstverlening. En twee dat we beoordelen of we de juiste maatregelen hebben genomen om die risico’s te verminderen, te beheersen tot een aanvaardbaar niveau.
Overige normen en richtlijnen
Ook de NEN 7524 voor pseudonimisatiedienstverlening en de Baseline Informatiebeveiliging Overheid (BIO) zijn belangrijke normen voor informatiebeveiliging. Deze normen maken reeds deel uit van de normensets binnen ons Information Security Management System (ISMS). Wij zullen certificatie voor deze normen in het auditprogramma betrekken zodra de certificerende instanties hiervoor geaccrediteerd zijn.
Trots
We zijn er trots op dat de door Kiwa uitgevoerde certificeringsaudit zonder bevindingen in één keer met goed gevolgd is doorlopen. Onze speciale dank gaat uit naar de partners van Cryptix en VanderBeecken voor de ondersteuning tijdens het uitgebreide voorbereidingstraject.
ISO 27001 is een ISO standaard voor informatiebeveiliging. Deze internationale norm is van toepassing op alle typen organisaties (bijvoorbeeld commerciële ondernemingen, overheidsinstanties, non-profitorganisaties). De norm specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico’s voor de organisatie.
Bron: Wikipedia
jun 5, 2018 | Pseudonimiseren
SFK, de Stichting Farmaceutische Kengetallen, doet al jaren onderzoek naar apotheekbezoek van medicijngebruikers. Ze heeft nu voor het eerst in kaart gebracht welke medicijngebruikers meerdere apotheken bezoeken. SFK kon dit onderzoek nu pas doen, omdat het sinds kort beschikt over patiëntpseudoniemen. Ze heeft hiervoor samengewerkt met ZorgTTP. Door persoonsgegevens te pseudonimiseren kan de SFK medicijngebruikers die verschillende apotheken bezoeken op anonieme wijze als dezelfde persoon beschouwen en hun gedrag in kaart brengen.
Uit het onderzoek blijkt dat 82% van de patiënten altijd dezelfde apotheek bezoekt. Slechts 2% bezoekt drie of meer apotheken, zoals de wijkapotheek en een poliklinische apotheek. Pseudonimisatie van persoonsgegevens maakt het mogelijk dergelijke inzichten op te bouwen zonder dat de privacy van personen in gevaar komt.
Lees meer over de resultaten van het onderzoek apotheekbezoek
okt 15, 2017 | Privacy, Pseudonimiseren, ZorgTTP
De voorzieningenrechter heeft op 2 augustus 2017 uitspraak gedaan in een kort geding van verschillende ggz-partijen tegen Stichting Benchmark GGZ (SBG). De rechter stelt dat de gegevens die SBG van ggz-aanbieders ontvangt, geen persoonsgegevens zijn. De eisers hebben niet kunnen aantonen dat de dataverzameling van SBG niet legitiem is, daarom kan de aanlevering van de gegevens weer hervat worden. ZorgTTP speelt een rol in deze dataverzameling, aangezien zij verantwoordelijk is voor de onomkeerbare pseudonimisatie van de persoonsgegevens. Het oordeel van de rechter biedt perspectief voor het anonimiseren van zorgregistraties.
De gehele uitspraak van de rechter is hier te lezen.