PRACTICE STATEMENT
Doel van deze verklaring
In deze verklaring leggen wij uit hoe we te werk gaan. Daarmee geven we uitwerking aan de eisen zoals geformuleerd in de norm NEN7524:2019 Medische informatica – Pseudonimisatiedienstverlening.
De norm vereist dat aanbieders van pseudonimiseringsdiensten een publiek beschikbare beschrijving van de geboden dienstverlening bieden aan potentiële afnemers van de dienst. Deze verklaring dient informatie over de volgende onderwerpen te bevatten:
Beschrijving van de dienst
Zie onze website voor algemene informatie met betrekking tot de geboden diensten. De opzet van de pseudonimiseringsdienst en de gehanteerde methode is beschreven in de volgende documenten;
- Historie pseudonimisering door ZorgTTP
- Onomkeerbare pseudonimisering;
- Omkeerbare pseudonimisering;
Informatie voor partijen die een belang hebben bij of afhankelijk zijn van de dienst
- Zie onze website en leveringsvoorwaarden;
- Identificerende informatie over de dienstverlener (adres, KvK nummer, BTW nummer);
Compliance en assurance statement
ZorgTTP heeft de volgende normen en standaarden van toepassing verklaard in het kader van de dienstverlening:
- NEN 7510-1: 2017+A1:2020 (gecertificeerd)
- ISO/IEC 27001:2017 (gecertificeerd)
- NEN 7524:2019
- BIO 2019
Garanties en vereisten vanuit toezichthoudende instanties
- Afspraken met betrekking tot geboden service levels zijn vastgelegd in overeenkomsten met onze opdrachtgevers.
- Een verplichting voortkomend uit overeenkomsten met opdrachtgevers en van toepassing zijnde wet- en regelgeving is certificering volgens gangbare normen op het gebied van informatiebeveiliging (zie punt 4);
- ZorgTTP biedt aanvullende maatregelen in geval van “vendor failure”:
- ZorgTTP heeft een overeenkomst met de NCC group voor het in escrow onderbrengen van software. Opdrachtgevers kunnen desgewenst van deze regeling gebruik maken. Hiervoor wordt een aanvullende overeenkomst gesloten;
- ZorgTTP betaalt de in Nederland gevestigde hosting provider RAM-IT van de productiesystemen 3 maanden vooruit. Een aanvullende bepaling in de overeenkomst regelt dat deze maanden ingaan op het moment dat Stichting ZorgTTP niet langer aan haar verplichtingen voldoet. De hosting provider houdt in dat geval de productiesystemen nog 3 maanden in stand. Opdrachtgevers kunnen in deze periode maatregelen treffen om met de ontstane situatie om te gaan. Bijvoorbeeld door met de in escrow gegeven materialen elders een nieuwe omgeving op te bouwen.
Verplichtingen voor afnemers van de dienst en aansprakelijkheid
Deze zijn vastgelegd in onze leveringsvoorwaarden, tenzij anders overeengekomen met desbetreffende opdrachtgever;
Versie: 15 oktober 2024. Wij behouden ons het recht voor om wijzigingen aan te brengen. Wij raden u daarom aan deze verklaring geregeld te raadplegen.