Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Financiering

Bos-Ci - JA de Roo, K. Vermeulen en S. Wierckx

advertisement 
Privacy-verklaring Stichting CBEE
VAN DE STICHTING
STATUTAIRE ZETEL
ADRES
POSTCODE EN PLAATS
VERZORGINGSGEBIED
KVK-REGISTER NUMMER
Stichting Computer Beheer Eerstelijn Ede (CBEE)
Ede
Willem de Zwijgerlaan 1B
6713 NS Ede
GELDERSE VALLEI
……………………………;
hierna te noemen ‘de Stichting’, rechtsgeldig vertegenwoordigd door haar bestuur.
Apothekers, huisartsen en andere hulpverleners – en tevens dienstwaarneemapotheken en
huisartsenposten, indien zij rechtspersoonlijkheid hebben – in bovengenoemd verzorgingsgebied
maken gebruik van hetzelfde computersysteem van PharmaPartners. Daartoe heeft elke gebruiker
een overeenkomst gesloten met de Stichting, welke tot doel de kwaliteit van de patiëntenzorg en
van de medicatiebegeleiding te verbeteren.
De gebruikers voeren hun eigen medische en farmaceutische administratie via een
gezamenlijk beheerde computerfaciliteit (de eHealthserver) die door de computerleverancier als
Application Service Provider (ASP)-oplossing wordt aangeboden. In dat kader wisselen de
deelnemers via elektronische weg medische en farmaceutische gegevens met elkaar uit en wordt
gedurende waarneming inzage in patiëntendossiers verleend. De Stichting speelt een
coördinerende en faciliterende rol: zij verleent aan de gebruikers diensten op het gebeid van
systeem- en bestandsbeheer.
Apothekers, huisartsen en patiënten moeten elkaar op deugdelijke wijze informeren. Die
informatie-uitwisseling is echter aan strenge regels gebonden. Huisartsen, apothekers en andere
hulpverleners hebben een professionele geheimhoudingsplicht op grond van de Wet beroepen
individuele gezondheidszorg (‘Wet BIG’). Bovendien geven de Wet bescherming
persoonsgegevens (‘Wbp’) en de Wet inzake de geneeskundige behandelingsovereenkomst (de
‘Wgbo’) voorschriften met betrekking tot het gebruik van patiëntengegevens.
In deze Privacy-verklaring worden de belangrijkste aandachtspunten met betrekking tot de
privacy van betrokken patiënten in het kader van die elektronische gegevens uitwisseling op een
rij gezet.
Deze Privacy-verklaring is als volgt ingedeeld.
I
Wie zijn de gebruikers?
II
Belangrijke begrippen.
III
Doel van de gegevensverwerking.
IV
Uitgangspunten van de gegevensverwerking.
V
Om welke gegevens gaat het?
VI
Wie heeft toegang tot welke gegevens?
VII
Verstrekking van gegevens aan derden.
VIII Verantwoordelijkheden van de Gebruiker.
IX
Verantwoordelijkheden van de Stichting.
X
Rechten van de betrokkene.
Privacy-verklaring CBEE
1/8
XI
I
Privacy tijdens de behandeling.
Wie zijn de gebruikers?
De apothekers, huisartsen en andere hulpverleners en/of organisaties (met
rechtspersoonlijkheid), die van het computersysteem van PharmaPartners in bovengenoemd
verzorgingsgebied gebruik maken (hierna: ‘Gebruikers’), zijn opgesomd in bijlage 1.
II
Belangrijke begrippen
–
Hulpverlener
Degene die met de patiënt een geneeskundige behandelingsovereenkomst sluit. Dat is de
huisarts, de apotheker, de verloskundige, de fysiotherapeut, de medische specialist (niet in
dienstverband).
Gebruiker
De apotheker, huisarts, fysiotherapeut, verloskundige, medisch specialist of andere
hulpverlener die een praktijkadministratie voert en die een Gebruikersovereenkomst heeft
gesloten met de Stichting.
Verwerking van persoonsgegevens
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Dit
omvat alle handelingen met die gegevens vanaf het verzamelen tot aan het vernietigen.
Verantwoordelijke
Degene die bevoegd is om doel en middelen van de gegevensverwerking vast te stellen. Of:
degene die voor eigen doeleinden persoonsgegevens verwerkt. De Gebruiker is te allen
tijde de ‘verantwoordelijke’ met betrekking tot gegevens van de ‘eigen’ patiënten.
Bewerker
Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder dat
hij aan de verantwoordelijke ondergeschikt is. Hij doet dat overeenkomstig de instructies
van de verantwoordelijke en onder verantwoordelijkheid van de verantwoordelijke. Hij
heeft geen zeggenschap over het doel en de middelen voor de verwerking van de
persoonsgegevens en neemt geen beslissingen over het gebruik van de gegevens, over
verstrekking aan derden, duur van de opslag van gegevens, etcetera. Zowel de Stichting als
de mede-Gebruiker – ten opzichte van de verantwoordelijke Gebruiker – is ‘bewerker’.
‘Bewerker’ is ook de computerleverancier, voor zover hij in opdracht van gebruikers
hosting verzorgt en back-ups maakt.
Betrokkene
Degene op wie de verwerkte gegevens betrekking hebben; de patiënt.
Bijzondere gegevens
Gegevens met betrekking tot godsdienst of levensovertuiging, ras, politieke gezindheid,
gezondheid, seksueel leven, strafrechtelijk verleden, etcetera.
Toestemming
Een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene
aanvaardt dat hem betreffende gegevens worden verwerkt.
–
–
–
–
–
–
–
Privacy-verklaring CBEE
2/8
III
Doel van de gegevensverwerking
De gegevensverwerking door de Gebruikers en door de Stichting heeft de volgende doelen:
a)
b)
c)
d)
e)
f)
Doelmatige en patiëntgerichte toepassing van medicatie, afgestemd op de behoefte van de
patiënt en gericht op het verbeteren van de kwaliteit van leven, alsmede medicatiebewaking,
uit te voeren in samenspel tussen patiënt, deelnemende artsen (waaronder medisch
specialist) en apothekers;
het ondersteunen van de interne organisatie en de financiële administratie van de
Gebruikers;
de informatieverstrekking aan de deelnemende artsen (waaronder andere behandelende
artsen) en apothekers om hen ten aanzien van de farmacotherapie te ondersteunen, in het
bijzonder omtrent de verstrekking aan hun patiënten van door andere behandelende artsen
voorgeschreven geneesmiddelen;
het ondersteunen van Gebruikers bij de vervulling van de hen bij wet opgelegde plichten in
het kader van geneeskundige behandeling en/of geneesmiddelenvoorziening, alsmede bij
de uitvoering van behandelingsovereenkomsten door Gebruikers;
het ondersteunen van de waarneming middels het verlenen van toegang tot de medische en
farmaceutische dossiers;
het verzamelen van gegevens die na anonimisering kunnen worden gebruikt ten behoeve
van wetenschappelijk onderzoek, medisch onderzoek, geneesmiddelengebruiksonderzoek,
publicaties, beleid in het kader van farmacotherapie, voorlichting en nascholing.
IV
Uitgangspunten voor de gegevensverwerking
1.
Het gebruik van opgenomen persoonsgegevens door een Gebruiker vindt alleen plaats in
overeenstemming met de inhoud van deze Privacy-verklaring.
Er worden geen persoonsgegevens in de registratie opgenomen voor andere doeleinden
dan in III omschreven en ook niet meer gegevens dan voor het doel van de
gegevenswerking nodig is.
De Gebruiker verwerkt de persoonsgegevens niet op een wijze die onverenigbaar is met de
in III omschreven doeleinden.
De verwerking van persoonsgegevens blijft achterwege voor zover een
geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de
weg staat.
Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de in III omschreven
doeleinden, toereikend, ter zake dienend en niet bovenmatig zijn.
De Gebruiker treft de nodige maatregelen opdat de persoonsgegevens, gelet op de in III
omschreven doeleinden, juist en nauwkeurig zijn.
De Gebruiker ziet erop toe dat ieder die handelt onder zijn gezag of onder het gezag van
de bewerker, persoonsgegevens slechts in zijn opdracht verwerkt.
2.
3.
4.
5.
6.
7.
Privacy-verklaring CBEE
3/8
V
Om welke gegevens gaat het?
1.
De in het centrale systeem verwerkte informatie laat zich indelen in vier categorieën
patiëntengegevens.
– Demografische gegevens: naam, adres en woonplaats gegevens, BSN en gegevens
betreffende de burgerlijke stand van de geregistreerde.
– Financiële en administratieve gegevens: gegevens noodzakelijk voor de financiële en
administratieve afwikkeling van de consultregistratie en geneesmiddelenverstrekking.
Deze gegevens behelzen ook de verzekeringsgegevens, waaronder (a) naam
zorgverzekeraar en polisnummer, en (b) gegevens over aanvullende en/of afwijkende
verzekeringen voor een bepaalde discipline.
– (Para)medische en psychologische gegevens: gegevens, direct of indirect betrekking hebbend op
lichamelijke of geestelijke gesteldheid van betrokkene, verzameld door een
hulpverlener in het kader van zijn beroepsuitoefening; dit dossier heeft een algemeen
deel (a), waarin informatie betreffende de reden tot het voorschrijven van
geneesmiddelen (a1) en overige informatie (a2), en een bijzonder deel (b).
– Farmaceutische patiëntenzorg gegevens: gegevens, direct of indirect betrekking hebbend op
de verstrekte geneesmiddelen, waaronder (a) een lijst met contra-indicaties,
overgevoeligheden en intoleranties voor bepaalde medicijnen, (b) de medicatiestatus;
een lijst van door de patiënt op dat moment gebruikte geneesmiddelen, (c) de
afleverhistorie; de lijst met geneesmiddelen zoals aan de patiënt afgeleverd, (d) de
voorschrijfhistorie; de lijst met geneesmiddelen zoals deze door de arts zijn
voorgeschreven, (e) gegevens omtrent geneesmiddelgebonden problemen van de
patiënt, de evaluatie hiervan en de daaruit volgende interventies, en (f) overige
informatie met betrekking tot het gebruik van de geneesmiddelen.
De samenstelling van die gegevens, alsmede de (mogelijke) herkomst van die gegevens,
wordt beschreven in bijlage 2.
2.
VI
Wie heeft toegang tot welke gegevens?
1.
Ten aanzien van patiëntengegevens is uitgangspunt dat Gebruiker A zonder toestemming
van de patiënt de noodzakelijke medische informatie aan Gebruiker B mag verstrekken
indien Gebruiker B voor Gebruiker A waarneemt of Gebruiker B rechtstreeks betrokken is
bij de uitvoering van de behandelingsovereenkomst van Gebruiker A. De apotheker geldt
als “rechtstreeks betrokken” bij de behandelingsovereenkomst van de huisarts waar het de
medicatie betreft.
De toegankelijkheid van gegevens is als volgt georganiseerd:
– de demografische gegevens van een patiënt zijn steeds voor alle gebruikers
toegankelijk;
– de financiële en administratieve gegevens van een patiënt zijn alleen voor de
betreffende Gebruiker toegankelijk, uitgezonderd de verzekeringsgegevens deel a; die
zijn steeds voor alle Gebruikers toegankelijk;
– de (para)medische en psychologische gegevens van de patiënt zijn alleen toegankelijk
voor de betreffende Gebruiker/hulpverlener (deel a en deel b), voor diens waarnemers
(deel a), en voor de betreffende apotheker tot wie de patiënt zich rechtstreeks heeft
gewend met een verzoek terzake van herhaalreceptuur (deel a1);
2.
Privacy-verklaring CBEE
4/8
–
3.
4.
5.
6.
de farmaceutische patiëntenzorg gegevens zijn alleen toegankelijk voor de betreffende
apotheker (deel a, deel b, deel c, deel e, deel f) en diens waarnemer (deel a, deel b, deel
c, deel e en deel f), en de huisarts (deel a, deel b, deel c, deel d, deel e, deel f) en diens
waarnemer (deel a, deel b, deel c, deel d, deel e, deel f).
Via de aansluitingen met de centraal opgestelde computerfaciliteit kunnen Gebruikers met
mutatiebevoegdheid gegevens invoeren. De hierboven in lid 2 beschreven gevallen
uitgezonderd, zijn deze gegevens in beginsel slechts voor de betreffende Gebruiker
beschikbaar.
De Stichting – en de door de Stichting schriftelijk aangewezen personen – hebben slechts
toegang tot de persoonsgegevens voor zover dit in het kader van de bewerking
noodzakelijk is.
Medewerkers van de computerleverancier hebben uitsluitend in opdracht en onder
verantwoordelijkheid van een Gebruiker of Bewerker mutatiebevoegdheid ten behoeve van
het oplossen van storingen en de reconstructie van gegevens.
Uitsluitend in gevallen van acute noodzaak of levensbedreigende situaties heeft de
Gebruiker en de Bewerker inzage in de gehele persoonsregistratie. Deze procedure heet ‘de
groene knop procedure’. Indien de groene knop procedure wordt toegepast, wordt hiervan
automatisch achteraf schriftelijk een rapport uitgebracht aan de Gebruiker. De Gebruiker
licht de betrokkene in.
VII Verstrekking van gegevens aan derden
1.
2.
3.
Actuele farmaceutische patiëntenzorg gegevens (deel a en deel b) kunnen aan een medische
specialist, ziekenhuisapotheker of ziekenhuis worden verstrekt, echter uitsluitend:
– op verzoek van die medische specialist en/of ziekenhuisapotheker en/of ziekenhuis, in
het geval van (poliklinische) behandeling van de betrokkene door de verzoeker; en
– op basis van een voorafgaand gesloten raamovereenkomst tussen de Stichting en
Deelnemers enerzijds en de verzoeker anderzijds, waarin de nodige privacy waarborgen ten aanzien van betrokkenen zijn opgenomen (onder andere met
betrekking tot toestemming voor verstrekking).
Persoonsgegevens kunnen zonder toestemming van betrokkene verstrekt worden:
a) aan zorgverzekeraars, voor zover zij betrekking hebben op de financiële verplichtingen
uit de verzekeringsovereenkomst;
b) voor zover nodig aan instanties voor statistiek en beleid; in deze gevallen worden
persoonsgegevens slechts verstrekt in een zodanige vorm dat zij redelijkerwijs niet
door de ontvanger tot individuele personen te herleiden zijn en niet nadat ter zake van
het gebruik van deze gegevens gemaakte afspraken schriftelijk zijn vastgelegd;
c) voor zover zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift.
Persoonsgegevens ten behoeve van onderzoek worden alleen dan zonder toestemming van
de geregistreerde verstrekt, indien aan de volgende voorwaarden is voldaan:
a) het onderzoek dient een algemeen belang;
b) het onderzoek kan niet zonder de desbetreffende gegevens worden uitgevoerd;
c) de gegevens worden in zodanige vorm verstrekt dat herleiding tot individuele
natuurlijke personen redelijkerwijs wordt voorkomen; en
d) de patiënt heeft tegen een verstrekking niet uitdrukkelijk bezwaar gemaakt.
Privacy-verklaring CBEE
5/8
VIII Verantwoordelijkheden van de Gebruiker
1.
2.
3.
4.
5.
De Gebruiker is verantwoordelijk voor het goed functioneren van de gegevenswerking.
De Gebruiker treft, tezamen met de Stichting, de technische en organisatorische
maatregelen die nodig zijn om de verwerkte gegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen een passend
beveiligingsniveau en zijn er mede op gericht onnodig verzamelen en verdere verwerking
van gegevens te voorkomen. In elk geval worden de in bijlage 3 opgesomde maatregelen
getroffen.
De Gebruiker maakt een protocol waarin zijn opgenomen:
– de gegevens verstrekt aan de zorgverzekeraar, verstrekt ter uitvoering van een wettelijk
voorschrift, of verstrekt ten behoeve van wetenschappelijk onderzoek of
geneesmiddelengebruiksonderzoek, onder vermelding van het beoogde gebruik;
– de melding van het gebruik van de groene knop met daarbij behorende motivatie;
– voor zover gegevens worden opgevraagd door het zogenaamde ‘snuffelen’; het
zogenaamde ‘snuffelverslag’.
De Gebruiker archiveert alle inkomende en uitgaande correspondentie, verslagen en
aantekeningen met betrekking tot de gegevensverwerking samen met het protocol voor de
duur van tien jaar.
Indien de bewaartermijn is verstreken, worden de betreffende persoonsgegevens uit de
registratie verwijderd en vernietigd, zulks binnen een termijn van één jaar. Indien de
betreffende gegevens zodanig zijn bewerkt, dat herleiding tot individuele personen
redelijkerwijs onmogelijk is, kunnen zij in geanonimiseerde vorm bewaard blijven.
De Gebruiker heeft, tezamen met de andere deelnemers en de Stichting, het verwerken van
gegevens gemeld bij het College Bescherming Persoonsgegevens.
IX
Verantwoordelijkheden van de Stichting
1.
2.
De taken, rechten en verplichtingen van de Stichting liggen besloten in de statuten van de
Stichting, het Gebruikersreglement, de met de Gebruikers gesloten overeenkomsten en in
deze Privacy-verklaring.
De Stichting is verantwoordelijk voor het goed functioneren van de onder zijn beheer
staande faciliteiten. De Stichting treft de noodzakelijke maatregelen met betrekking tot de
beveiliging van onder andere apparatuur, programmatuur en de gegevens waarmee de
persoonsregistratie wordt gevoerd.
X
Rechten van de betrokkene
1.
De rechten van de betrokkene, zoals geformuleerd in de Wbp en – specifieker – in de
Wgbo, worden door de Gebruikers en door de Stichting ten volle gerespecteerd.
Privacy-verklaring CBEE
6/8
2.
3.
4.
5.
6.
Recht op inzage en afschrift
De Gebruiker verstrekt aan de betrokkene desgevraagd zo spoedig mogelijk inzage in en
afschrift van zijn dossier met betrekking tot de behandeling van betrokkene. De
verstrekking blijft achterwege voor zover dit noodzakelijk is in het belang van de
bescherming van de persoonlijke levenssfeer van een ander. De hulpverlener mag voor de
verstrekking van dat afschrift een redelijke vergoeding van ten hoogste € 4,50 in rekening
brengen.
Recht op aanvulling
De Gebruiker voegt desgevraagd een door de betrokkene afgegeven verklaring met
betrekking tot de in het dossier opgenomen stukken aan het dossier toe.
Recht op vernietiging
De Gebruiker vernietigt de door hem bewaarde gegevens van zijn dossier met betrekking
tot de behandeling van de betrokkene binnen drie maanden na een daartoe verstrekkend
verzoek van de betrokkene.
Dat verzoek wordt niet gehonoreerd voor zover het bescheiden betreft waarvan
redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan
de betrokkene, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen
vernietiging verzet. Evenmin vindt vernietiging plaats voor zover de Gebruiker jegens de
financier van de verleende zorg tot bewaring gehouden is of indien terzake van die zorg
een geschil aanhangig is gemaakt of dreigt te worden gemaakt.
Recht op overdracht
De betrokkene heeft het recht op hem betrekking hebbende gegevens te doen overdragen
aan een andere, door hem aan te wijzen hulpverlener. De inwilliging van een daartoe
strekkend verzoek kan slechts worden geweigerd op grond van een wettelijk voorschrift
dan wel worden opgeschort voor zover de Gebruiker jegens de financier van de verleende
zorg tot bewaring gehouden is of indien ter zake van die zorg een geschil aanhangig is
gemaakt of dreigt te worden gemaakt.
Geschillen
In geval van klachten kan de betrokkene zich wenden tot de Gebruiker of de Stichting.
Gebruiker en betrokkene kunnen besluiten advies te vragen aan het College Bescherming
Persoonsgegevens. Indien geen overeenstemming wordt bereikt, kan een beroep op de
rechter worden gedaan.
XI
Privacy tijdens de behandeling
1.
Een Gebruiker die een behandelingsovereenkomst uitvoert, voert verrichtingen in dat
kader uit buiten de (zintuiglijke) waarneming van anderen dan de betrokkene, tenzij de
betrokkene ermee heeft ingestemd dat de verrichtingen kunnen worden waargenomen door
anderen.
Onder anderen dan betrokkene zijn niet begrepen degenen van wie beroepshalve de
medewerking bij de uitvoering van de verrichting noodzakelijk is. Daaronder zijn evenmin
begrepen degenen van wie toestemming terzake van de verrichting is vereist op grond van
artikelen 7:450 en 7:465 BW.
Indien de Gebruiker door verrichtingen te doen waarnemen niet geacht kan worden de
zorg van een goed hulpverlener in acht te nemen, laat hij zulks niet toe.
2.
3.
Privacy-verklaring CBEE
7/8
Aldus in tweevoud opgemaakt, per pagina geparafeerd en ondertekend te …..…………..,
op datum
Namens de Stichting
Gebruiker (s)
naam: C.H. Daniels
functie: voorzitter
naam:……………………………
functie: ………………………….
naam: J.A. de Roo
functie: secretaris
naam:……………………………
functie: ………………………….
naam:……………………………
functie: ………………………….
Privacy-verklaring CBEE
8/8
Bijlage 1 Soorten gegevens en herkomst
Demografische gegevens
Naam, adres en woonplaats gegevens en gegevens betreffende de burgerlijke stand van
betrokkene.
Het gaat hierbij met name om naam, adres, postcode, woonplaats, correspondentieadres,
telefoonnummer en geboortedatum.
Demografische gegevens kunnen worden verstrekt door de betrokkene en voorts worden
verkregen uit openbare registers en uit administraties van bejaardeninstellingen, verpleegtehuizen
en ziekenhuizen. Met betrekking tot de verzekerden kunnen bedoelde gegevens worden
verkregen uit registratie(s) van de zorgverzekeraar(s).
Financiële en administratieve gegevens
Gegevens noodzakelijk voor de financiële en administratieve afwikkeling van de consultregistratie
en geneesmiddelenverstrekking.
Het gaat hierbij met name om de volgende gegevens: huisarts, apotheek van inschrijving,
tandarts, fysiotherapeut, verloskundige, behandelend medisch specialist, soort verzekering,
betaalwijze, ziekenfonds- en registratienummer, type consult, receptgegevens ten behoeve van de
ziekenfondsdeclaratie en de particuliere verrekening zoals verstrekkingsdatum, voorschrijvend of
behandelend arts (waaronder medisch specialist), geneesmiddel, hoeveelheid, debiteurennummer
en betalingsinformatie, verrichtingsgegevens zoals verstrekkingsdatum, soort verrichting en
betalingsinformatie.
Financiële en administratieve gegevens worden verkregen door prijsberekening uit de verwerkte
consulten, de aangeboden recepten, door mondelinge of schriftelijke informatie van
zorgverzekeraars, vanuit bank-, giro- of kasbetalingsoverzichten en van de betrokkene zelf.
(Para)medische en psychologische gegevens
Persoonsgegevens, direct of indirect betrekking hebbend op lichamelijke of geestelijke
gesteldheid van betrokkene, verzameld door de hulpverlener in het kader van zijn
beroepsuitoefening.
Het gaat hierbij vooral om: ziektebeelden en vrije medische informatie met betrekking tot de
betrokkene en informatie die noodzakelijk is voor behoorlijke nakoming van geneeskundige
behandelingsovereenkomsten.
(Para)medische en psychologische gegevens worden verkregen door mondelinge of schriftelijke
informatie van de betrokkene, van de Deelnemer die bij de medische behandeling van betrokkene
is betrokken, van de behandelend medisch specialist of de betrokken ziekenhuisapotheker, of
worden door apotheker en/of de hulpverlener afgeleid uit het geneesmiddelengebruik.
Farmaceutische patiëntenzorg gegevens
Persoonsgegevens, direct of indirect betrekking hebbend op de verstrekte geneesmiddelen en op
geneesmiddelgebruik van betrokkene, verzameld door apotheker en/of hulpverlener in het kader
van zijn beroepsuitoefening.
Het gaat hierbij vooral om gegevens omtrent ervaringen met het gebruik van geneesmiddelen
door de patiënt, bijvoorbeeld betreffende de werkzaamheid en het optreden van bijwerkingen en
andere geneesmiddelgebonden problemen, en de evaluatie hiervan en de daaruit volgende
interventies door de apotheker.
Beheersaspecten van Samenwerkingsverbanden / Privacy-verklaring
9/13
Farmaceutische patiëntenzorg gegevens worden verkregen door mondelinge of schriftelijke
informatie van de betrokkene zelf, van de Deelnemer die bij de medische behandeling van
betrokkene is betrokken, van de behandelend medisch specialist of van de betrokken
ziekenhuisapotheker, of door verwerking van recepten aangeboden door of vanwege betrokkene,
of worden door apotheker en/of de hulpverlener afgeleid uit geneesmiddelengebruik.
Bijlage 2 Beschermingsmaatregelen
De Gebruiker treft – in samenwerking met de Stichting – in elk geval de volgende
beschermingsmaatregelen.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
De centraal opgestelde computerfaciliteit en werkstations worden in goed af te sluiten
ruimten opgesteld.
Informatiedragers worden goed opgeborgen in een afgesloten ruimte.
Aan (medewerkers van) de computerleverancier wordt uitsluitend na opdracht van een
Gebruiker of Bewerker toestemming verleend om toegang te verkrijgen tot de centraal
opgestelde computerfaciliteit. De procedure is vastgelegd in Bijlage 4.
De betreffende medewerkers van de computerleverancier is geheimhouding opgelegd door
de werkgever, een en ander conform artikel 20 van de Algemene Leverings Voorwaarden,
als gedeponeerd bij de KvK Breda, nr. 4378.
De computerleverancier rapporteert op verzoek aan de Gebruiker omtrent inzage door zijn
medewerkers in de praktijkgegevens (reden, tijdstip, medewerker en aanduiding van het
onderdeel).
Alle werkstations van de Gebruikers zijn uitgerust met een identificatiecode die gekoppeld
is aan de door middel van deze terminal uit te voeren taak. Alleen de Gebruiker is bevoegd
om in samenwerking met de computerleverancier de taakstelling van een terminal te
wijzigen. Van enige wijziging en de daaraan ten grondslag liggende reden wordt door de
Gebruiker schriftelijk verslag gelegd.
De geanonimiseerde gegevens worden op separate media opgeslagen. Zij worden als
zodanig gekenmerkt en worden niet voor de normale dagelijkse verwerking toegepast.
De procedure voor de technische beveiliging wordt volgens schema uitgevoerd. Een
periodieke kopie van de gegevens wordt bewaard op een tegen diefstal en ongeautoriseerde
toegang beveiligde plaats (buiten het pand waar de computerinstallatie is opgesteld).
De praktijkgegevens worden op zorgvuldige wijze opgeborgen, zodat alleen geautoriseerde
personen daadwerkelijk toegang hebben tot deze gegevens. De praktijkgegevens, welke
tijdelijk worden gebruikt voor de uitvoering van werkzaamheden, zowel door de
deelnemers als door de medewerkers van de computerleverancier, worden na gebruik
zorgvuldig vernietigd.
Op de centraal opgestelde computerfaciliteit aangesloten werkstations worden niet door
middel van een permanent geopende verbinding (bijvoorbeeld: kabel, ADSL) direct of via
een lokaal netwerk met het internet verbonden, tenzij dit door de Gebruiker met de
Stichting is overlegd en naar de stand van de techniek maximale beveiligingsmaatregelen
zijn getroffen. Deze beveiligingsmaatregelen zijn beschreven in Bijlage 5.
k)
In het geval de centrale computerfaciliteit door de computerleverancier als Application
Service Provider (ASP) wordt geboden, worden de hierboven sub a), b), c), g) en h)
geformuleerde eisen, voor zover nog van toepassing, schriftelijk vastgelegd in een contract
met de respectievelijke computer- c.q. dienstenleverancier.
Bijlage 3 Protocol toegang centraal opgestelde computerfaciliteit
Toegang tot de centrale computerfaciliteit is sinds enige tijd alleen mogelijk via het beveiligde
netwerk eZorg.
Technische opzet toegang via eZorg
Elk klantnetwerk is via een firewall gekoppeld aan eZorg. Via eZorg kan door klanten veilige
toegang verkregen worden tot de centraal in het datacenter opgestelde eHealthServers. Via
exclusief voor ieder samenwerkingsverband gecreëerde VPN-tunnels wordt per klantlocatie
toegang geboden tot de applicatieservers. Ten behoeve van Serviceverlening heeft ook
PharmaPartners via een exclusieve VPN-verbinding toegang tot het datacenter.
Het netwerk van PharmaPartners is daarvoor met speciaal daarvoor ingerichte firewalls en via een
apart servicenetwerk gekoppeld aan eZorg.
eZorg bestaat derhalve uit een verzameling van elkaar afgeschermde en getunnelde (versleutelde)
verbindingen tussen deelnemende partijen. Alle informatie die via eZorg met het datacenter
wordt uitgewisseld, is versleuteld en daardoor onleesbaar voor anderen, inclusief de
netwerkbeheerder. Via deze getunnelde verbindingen en beperkt door een gecontroleerde
toegang op netwerk- en op gebruikersniveau kan slechts een specifieke groep medewerkers van
PharmaPartners op verzoek van de klant ten behoeve van het oplossen van servicemeldingen
toegang krijgen tot dit systeem.
Toegangsbeveiliging in het Datacenter
Fysieke beveiliging
Voor de fysieke beveiliging voldoet het Datacenter van Getronics aan de hoogste eisen. Deze zijn
gebaseerd op de ISO 27000 serie. Slechts geautoriseerde medewerkers die een “verklaring
omtrent het gedrag van de gemeente” hebben en zich ter plaatse kunnen legitimeren, hebben
toegang tot de computervloer.
Toegang van buitenaf
Inkomende netwerkverbindingen in het datacenter zijn voor alle eHealthNet-locaties ALLEEN
mogelijk via getunnelde verbindingen. Alleen via deze verbindingen kunnen daartoe gerechtigde
gebruikers toegang krijgen tot het systeem, mits daarvoor de betreffende netwerkpoort openstaat
en de autorisatie op serverniveau dit toestaat.
Beheer toegangsbeveiliging
De configuratie van alle firewalls en VPN-tunnels in het datacenter en eHealthNet worden
centraal beheerd. Middels een managementserver worden configuraties gedistribueerd. Deze
managementserver is opgenomen in een beveiligd netwerksegment van het interne netwerk van
PharmaPartners. Dit segment is niet vanaf buiten te benaderen en slechts voor een beperkt aantal
mensen (de security-adminstrators) van binnenuit te benaderen.
Algemeen
Toegangsbeveiliging systeem
De toegang van PharmaPartners-medewerkers tot het systeem kan verkregen worden na ingave
van een loginnaam en een wachtwoord. Medewerkers van PharmaPartners hebben allemaal een
persoonlijke loginnaam en bijbehorend wachtwoord. De toegang tot klantsystemen wordt slechts
verleend aan die medewerkers waarvoor het op grond van hun functie noodzakelijk is. Alle
betreffende medewerkers hebben voor geheimhouding getekend.
Logging
Logging op het klantsysteem
Elke keer als er via eZorg toegang wordt verkregen tot het systeem wordt dit gelogd. Er vindt
een uitgebreide, technische logging plaats, in de zogenaamde syslog (systeem-logging).
Tegelijkertijd vindt er een logging plaats voor de klant. Deze is via clusterbeheer in te zien c.q. af
te drukken.
In beide loggings zijn de volgende elementen opgenomen:
- Datum en tijdstip dat toegang tot het systeem is verkregen.
- Naam (verkort) wie er toegang tot het systeem heeft verkregen.
- Korte omschrijving van de reden van de toegang tot het systeem.
- Vermelding van het incidentnummer van de melding die aan de inbelactie ten grondslag ligt.
Logging in het callregistratiesysteem van PharmaPartners
Om een sluitende administratie te verkrijgen, zal van elke remotesupportactie ook een registratie
plaatsvinden in het callregistratiesysteem van PharmaPartners. Zodoende kan, bij vragen of
calamiteiten, de volledige historie van een bepaalde melding worden opgezocht op basis van het
geregistreerde incidentnummer. Op deze wijze kunnen vragen adequaat worden beantwoord.
Wie heeft er toegang tot het systeem van de klant
Uitsluitend een specifieke groep medewerkers van PharmaPartners heeft toegang tot het systeem
van de klant. Deze specifieke groep bestaat uit medewerkers werkzaam bij het Service Center, de
ontwikkelafdeling, consultancy en implementatie, infrastructuur en de technische dienst, die in
opdracht van een Deelnemer aanpassingen doorvoeren, en storingen en meldingen analyseren en
oplossen. De betreffende medewerkers hebben alleen binnen het callregistratiesysteem de
mogelijkheid om verbinding te maken met de systemen en zij hebben op het systeem een unieke
log-in-code. Voor zover er andere systemen nodig zijn voor de serviceverlening zullen deze, voor
hun autenticatie en autorisatie op gelijkwaardige wijze worden aangesloten als via de centrale
callregistratie. Wijzigingen in log-in-namen en wachtwoorden worden per direct op het
klantsysteem en de supportsystemen verwerkt. PharmaPartners informeert de Deelnemer op
verzoek over de identiteit en functie van de medewerkers die toegang hebben tot het systeem van
die Deelnemer.
Bijlage 4 Overzicht beveiligingsmaatregelen directe internettoegang
De meest recente versie is op te vragen bij de afdeling Accountmanagement van PharmaPartners.
Related documents
Beschrijving algemeen zorgaanbod vzw Pamele
Beschrijving algemeen zorgaanbod vzw Pamele
Klachtenprocedure
Klachtenprocedure
Functieomschrijving vertrouwenspersoon
Functieomschrijving vertrouwenspersoon
Lent, 7 november 2016 P e r s b e r i c h t `s werelds eerste
Lent, 7 november 2016 P e r s b e r i c h t `s werelds eerste
BRUIKLEENOVEREENKOMST - Vereniging der Parochiale Werken
BRUIKLEENOVEREENKOMST - Vereniging der Parochiale Werken
NBA-site vernieuwd: Nu ook zoeken in de HRA
NBA-site vernieuwd: Nu ook zoeken in de HRA
Algemene gebruiksvoorwaarden Blankenberge
Algemene gebruiksvoorwaarden Blankenberge
Privacy in de Keten - Landelijk Platform Woonoverlast
Privacy in de Keten - Landelijk Platform Woonoverlast
PowerPoint-presentatie
PowerPoint-presentatie
BANQUE CARREFOUR DE LA SECURITE SOCIALE
BANQUE CARREFOUR DE LA SECURITE SOCIALE
Recht in de praktijk - Voor de Gelderse jeugd
Recht in de praktijk - Voor de Gelderse jeugd
Download
advertisement