Bewerkersoveenkomst Gezondheidscentrum Lange Hille en Proigia

advertisement
Geachte huisarts/ praktijkhouder,
U staat op het punt gebruik te gaan maken van de diensten van Calculus voor wat betreft het
genereren van een AIOS volgsysteem waarmee u inzicht krijgt in de zorg die uw AIOS levert aan uw
patiënten. Als praktijk/dossierhouder bent u de zogenaamde verantwoordelijke in de zin van de Wet
bescherming persoonsgegevens (Wbp) voor de verwerking van de gegevens die in die dossiers zijn
opgeslagen. Calculus gaat samen met haar leveranciers/partners onder uw verantwoordelijkheid de
persoonsgegevens verwerken (tot rapporten) in de zogenaamde rol van bewerker.
Persoonsgegevens zijn gegevens over mensen die tot een individu herleidbaar zijn.
Wij vinden het van belang om helder te hebben wat er met uw gegevens gebeurt bij het proces om
te komen tot de rapporten. En wij willen met u afspreken dat wij formeel bewerker zijn en wat wij
wel en niet met uw gegevens mogen. Daarom treft u in de bijlage een bewerkersovereenkomst die u
moet ondertekenen voordat we daadwerkelijk aan de slag kunnen voor u. Een dergelijke
overeenkomst is wettelijk verplicht wanneer de ene partij (de verantwoordelijke) het verwerken van
persoonsgegevens bij een andere partij (de bewerker) wil uitbesteden.
NB Volgens de wet is de huisartsenpraktijk de verantwoordelijke. Daarom sluiten we een
overeenkomst met de huisartsenpraktijk.
Hoe we uw gegevens verwerken
U maakt conform onze instructie een extractie uit uw HIS. Die extractie bevat persoonsgegevens van
al uw patiënten. Met de gegevens uit deze extractie worden voor u AIOS-rapporten en het LHVdashboard gemaakt, die u inzicht biedt in de zorg die u levert aan uw patiënten en de kwaliteit van
uw zorgregistratie.
Naast het LHV dasboard voor uw eigen inzicht ook nog gegevens twee andere zaken met de
gegevens gedaan:
1. De gegevens worden gebruikt voor inzicht in de activiteiten van uw AIOS via een
praktijkeigen rapport en een set rapporten die u kunt gebruiken voor opleidings-specifieke
patiëntenlijsten. Deze rapporten zijn alleen zichtbaar voor de praktijk zelf.
2. De gegevens worden verder gebruikt om het benchmarkproces van de opleiding te voeden.
De opleiding ontvangt alleen de statistische resultaten, niet op persoon herleidbare
gegevens.
De extractie laadt u via de web applicatie VIPLive. De gegevens worden beveiligd via het Internet van
uw computer naar onze IT-omgeving gezonden. De web applicatie VIPLive wordt onder onze
verantwoordelijkheid gemaakt en gehost door het bedrijf Topicus Fincare, een zusterbedrijf van
Calculus. VIPLive slaat geen zorginhoudelijke gegevens op.
Voor de opslag en beheer van de gegevens en het maken van de zorginhoudelijke analyses en
rapportages werken wij samen met ons dochterbedrijf Proigia1. De gegevens worden versleuteld
opgeslagen op een aparte, praktijkeigen database in een beveiligd datacentrum (Bit in Ede,
Nederland). De rapporten die door Proigia worden gemaakt kunnen door u vervolgens weer in
VIPLive op worden gevraagd. En als u geen klant meer bent, worden de gegevens direct verwijderd.
NB Om de veiligheid van de gegevens extra te waarborgen zetten we de extra optie VIPLive toegang
beveiligen met SMS aan. Dit houdt in dat elke computer waarmee u inlogt op VIPLive eenmalig
1
Proigia heeft meer dan zeven jaar ervaring met analyse, beheer en rapportages over meer dan 500.000
patiënten. Proigia analyseert en verwerkt de gegevens onder andere conform de afspraken rond
dataverwerking van InEen, de uitgangspunten van het NHG. Calculus / Proigia zijn ISO 27001 gecertificeerd
(Informatiebeveiliging) en wordt jaarlijks door een onafhankelijke auditor gecontroleerd op naleving. Op
verzoek is het rapport van de auditor beschikbaar voor Klant. Referenties zijn op verzoek beschikbaar.
1
geauthentiseerd moet worden door het invoeren van een code die u per SMS toegezonden krijgt.
Bovendien worden de Naam-Adres-Woonplaats gegevens van de patiënten versleuteld bij het
opladen door u met een pincode die alleen u kent. Wij (Calculus/Proigia medewerkers) kunnen dus
geen NAW-gegevens van patiënten inzien. De NAW gegevens worden voor u in VIPLive via een
beveiligde sessie zichtbaar als u uw pincode opgeeft.
Welke rechten hebben patiënten (zogenaamde betrokkenen in de wet)?
Alle personen van wie gegevens worden verwerkt hebben rechten. Zij hebben recht op informatie
over de aard en het doel van gegevensverwerking, recht op het maken van bezwaar, recht op inzage,
correctie en afschrift en vernietiging van hun gegevens. Zij hebben ook recht op informatie indien er
misbruik door u of ons geconstateerd wordt. Omdat de patiënt deze rechten kan uitoefenen vragen
wij u contact met ons op te nemen indien een patiënt u benadert om een van deze rechten uit te
oefenen.
Moeten patiënten voor deze verwerking toestemming geven?
Nee, dat hoeft niet omdat u het recht heeft om de gegevens te (laten) verwerken voor uzelf,
bijvoorbeeld voor kwaliteitscontrole, verantwoording en managementdoeleinden. Wij mogen ze
uitsluitend verwerken voor u en de in dit document beschreven doeleinden.
Heeft u vragen over het bovenstaande in relatie tot het AIOS volgsysteem, dan vernemen we die
graag. U kunt ons bereiken op 088-5281071 (optie 1) of [email protected].
Met vriendelijke groeten,
Winfried Borst, directeur
2
Bewerkersovereenkomst inzake de verwerking van persoonsgegevens
Dit is een overeenkomst tussen huisartsenpraktijk <naam> (hierna de opdrachtgever) enerzijds en
Calculus Software B.V. en Proigia B.V. anderzijds (hierna de bewerker(s)).
Overwegende dat,
 Opdrachtgever als verantwoordelijke beschikt over persoonsgegevens van diverse betrokkenen
(ingeschreven patiënten).
 Opdrachtgever bepaalde vormen van verwerking wil laten verrichten door de bewerker, waarbij
de opdrachtgever doel en middelen aanwijst.
 De bewerker hiertoe bereid is en tevens bereid is verplichtingen over beveiliging en andere
aspecten van de Wet bescherming persoonsgegevens en Wet Geneeskundige Behandel
Overeenkomst (WGBO) na te komen, voor zover dit binnen haar macht ligt.
 Partijen, hun rechten en plichten schriftelijk wensen vast te leggen,
komen partijen het volgende overeen,
Artikel 1 Bewerkingsdoel
1. Het ondersteunen van huisartsen/praktijkhouders en gezondheidscentra met management
informatie functionaliteit;
2. Het verrijken van deze data met externe gegevens en referentie gegevens (onder meer ten
behoeve van benchmarking);
Artikel 2 Aard van activiteiten en mandatering
Bewerker handelt in opdracht van de opdrachtgever voor het maken van vooraf gedefinieerde
standaard bewerkte lijsten en rapporten op basis van medische persoonsgegevens. Gegevens
worden geëxtraheerd uit een bronsysteem (bv een HIS of KIS) en opgeslagen op een
gegevensbewerkingsserver in Nederland. Gegevens blijven eigendom van de opdrachtgever.
Bewerker mag nooit zonder toestemming van de opdrachtgever gegevens inzien, bewerken of aan
derden doorleveren.
Artikel 3 Gebruik van resultaten en gegevens
Alleen de opdrachtgever en bewerker kunnen data, gegevens, rapporten en indicatoren inzien.
Uitsluitend in haar expliciete opdracht worden samenvattende indicatoren (getallen, geen
persoonsgegevens) door geleverd aan een “benchmark database”, die raadpleegbaar is bijvoorbeeld
voor een door de opdrachtgever bepaalde groep zorgverleners, centra of een zorggroep. In deze
database zullen geen gegevens zichtbaar zijn die tot een individu herleidbaar zijn. Indien
opdrachtgever ten behoeve van het declaratieproces van de zorggroep waar zij bij is aangesloten
gegevens moet aanleveren, dan geeft hij bewerker hierbij toestemming om dat namens hem te
doen.
Artikel 4 Beveiliging van medische gegevens
Bewerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met
betrekking tot de te verrichten verwerkingen van persoonsgegevens tegen verlies, diefstal, onnodige
verzameling en/of opslag of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde
kennisname, aantasting, wijziging of verstrekking van de gegevens). Bewerker draagt zorg voor een
uitstekende beveiliging voldoend aan de geldende normen en afspraken.
Data is versleuteld opgeslagen bij een ISO 27001 gecertificeerd datacentrum en is niet toegankelijk
voor onbevoegden. Er is een strikte scheiding in beheer van servers, regeling van toegang tot data en
de ontwikkeling- en het beheer van de software die datagebruik en inzage mogelijk maakt.
3
Artikel 5 medewerkers en subbewerkers
De verplichtingen van bewerker die uit deze overeenkomst voortvloeien, gelden ook voor degenen
die gegevens verwerken onder het gezag van bewerker. Bewerker legt vast welke medewerkers
toestemming hebben tot door de opdrachtgever aangeleverde gegevens. Alle bevoegd personeel van
bewerker heeft een geheimhoudingsverklaring ondertekend. Opdrachtgever is ermee bekend dat
bewerker de in de informatiebrief behorende bij deze overeenkomst genoemde bedrijven inschakelt
om haar dienst te kunnen leveren. Bewerker heeft contractueel vastgelegd dat die subbewerkers:
 zich eveneens richten naar de instructies van de verantwoordelijke;
 tot geheimhouding verplicht zijn en de nodige beveiligingsmaatregelen ten opzichte van de
gegevensverwerking nemen.
Daarmee zijn de subbewerkers eveneens gebonden aan het bepaalde in deze overeenkomst.
Bewerker is volledig verantwoordelijk en aansprakelijk voor het handelen van deze subbewerkers.
Bewerker neemt deze verplichting expliciet op in de overeenkomst die hij met een subbewerker sluit.
Calculus / Proigia zijn ISO 27001 gecertificeerd (Informatiebeveiliging) en wordt jaarlijks door een
onafhankelijke auditor gecontroleerd op naleving. Op verzoek is het rapport van de auditor
beschikbaar voor Klant.
Artikel 6 controlemogelijkheid opdrachtgever
De opdrachtgever kan periodiek (laten) controleren of de bewerker zijn verplichtingen op grond van
de wet -en regelgeving op het gebied van bescherming van persoonsgegevens nakomt. De bewerker
verleent volledige medewerking aan een dergelijk onderzoek.
Artikel 7 meldplicht incidenten
Zodra zich een incident voordoet bij bewerker dat van invloed is, is geweest of zou kunnen zijn op de
vertrouwelijkheid van de gegevensverwerking, brengt bewerker opdrachtgever hiervan direct op de
hoogte. Dit laat de verplichting van bewerker onverlet om direct doeltreffende maatregelen te
nemen.
Artikel 8, bewaartermijn en vernietiging van gegevens
Bewerker bewaart de gegevens die hij verwerkt niet langer dan noodzakelijk voor het verrichten van
de diensten aan opdrachtgever. Het bewaren van gegevens is in ieder geval niet langer noodzakelijk
als opdrachtgever deze overeenkomst opzegt. In dat geval zal bewerker de gegevens zo spoedig
mogelijk vernietigen. Op verzoek van opdrachtgever toont bewerker aan dat vernietiging van de
persoonsgegevens daadwerkelijk heeft plaatsgevonden.
Artikel 9 afhandeling verzoeken van betrokkenen
In geval de betrokkene gebruik wil maken van zijn rechten zoals bijvoorbeeld inzage, is
opdrachtgever verantwoordelijk voor het afhandelen van het verzoek. Opdrachtgever zal bewerker
direct op de hoogte brengen van het verzoek van betrokkene en bewerker zal opdrachtgever
vervolgens terzijde staan.
Artikel 10 aansprakelijkheid
Opdrachtgever garandeert dat bewerker de gegevens mag verwerken en vrijwaart bewerker voor
aansprakelijkheid van derden tenzij de schade waar de aansprakelijkheid is opgericht te wijten is aan
opzet of grove schuld van bewerker. De omvang van de aansprakelijkheid van bewerker is per
kalenderjaar, waarin de schadeveroorzakende feiten zich hebben voorgedaan, beperkt tot de aan
bewerker in dat jaar door de opdrachtgever voor de door bewerker geleverde diensten betaalde
vergoeding tenzij de schade waar de aansprakelijkheid is opgericht te wijten is aan opzet of grove
schuld van bewerker.
4
Artikel 11 looptijd van deze overeenkomst en bevoegde rechter
Deze bewerkersovereenkomst is direct opzegbaar door beide partijen waarbij eventuele wederzijdse
verplichtingen nagekomen dienen te worden. Op deze overeenkomst is het Nederlands recht van
toepassing.
Namens de Bewerker(s):
Namens Opdrachtgever:
Datum: ........-……..-……………
Calculus Software B.V.
Proigia B.V.
Winfried Borst
Rene van Riel
……………………………………………
Directeur Calculus BV
Directeur Proigia BV
……………………………………………
5
Download