Implementatie AVG bij MRDM

Paul Crauwels (directeur MRDM)

Informatiebijeenkomst Gegevensbescherming, 17 mei 2018

 

‘Het ziekenhuis is ‘in control’ in wat er met de data gebeurt’

Paul Crauwels, directeur van MRDM, vertelt in zijn presentatie over de rol van MRDM in het verwerken van data en gaat in op vragen die zijn gesteld over de afhankelijkheid en onafhankelijkheid van MRDM nu MRDM onderdeel is geworden van de LOGEX Group. Paul benadrukt dat ‘MRDM alleen de verwerkingsverantwoordelijke zorginstelling beschouwt als de opdrachtgever en dat er zonder instructies van de zorginstelling niets wordt uitgevoerd.

Commissie van wijzen

MRDM werkt met LOGEX en Value2Health samen, maar werkt volgens Paul ‘zoveel mogelijk zelfstandig. MRDM voert ook een eigen personeelsbeleid.’ Hij stelt verder dat MRDM meer geïsoleerd zou moeten worden. ‘Hierbij kun je denken aan een commissie van wijze mannen en vrouwen die ons controleren. DICA kent bijvoorbeeld haar eigen privacycommissie. Die kant wil MRDM ook op.’

MRDM is als verwerker van patiënt- en persoonsgegevens verplicht om een functionaris gegevensbescherming te hebben. ‘Gelukkig hebben we deze aangesteld in de persoon van Marie-José Bonthuis, die dit voor ons gaat monitoren. Per 1 mei is ze gestart in deze functie bij MRDM’, vertelt Paul.

Dataproces

Hoe verloopt het dataproces binnen MRDM? In zijn presentatie vertelt Paul aan de hand van visuele beelden hoe de datastromen lopen binnen MRDM. ‘Het proces start bij het ziekenhuis. Er zijn bedrijven die informatieproducten aanbieden aan de ziekenhuizen. Hier heeft het ziekenhuis eerst zelf contact mee. Uit deze contacten vloeien afspraken voort, bijvoorbeeld door deelnameovereenkomsten.

Vervolgens is er data nodig om dit te vullen. Hier komt MRDM in beeld. Voor de verwerking van data wordt er een verwerkersovereenkomst met MRDM afgesloten. De volgende stap is dat de data wordt verwerkt. Dit hele proces verzorgt MRDM. Uiteindelijk levert MRDM geanonimiseerde data door naar partijen als DICA.

Instructie

De zorginstelling geeft een instructie aan ons, zodat er daadwerkelijk bewerkingen uitgevoerd worden op de data. ‘Wij werken altijd via een instructie, zonder een instructie doet MRDM niets.’, vertelt Paul.

Maar hoe zit dit nu precies tussen het ziekenhuis, MRDM en DICA? Paul neemt als voorbeeld dat er een idee ontstaat dat er een kwaliteitsregistratie voor diabetes moet komen. ‘De wetenschappelijke vereniging doet een voorstel hoe een kwaliteitsmeting op te starten. Deze vereniging weet niet hoe ze een dergelijk systeem moet inrichtingen. Vervolgens wordt DICA benadert om een data-processing-instructie te maken. DICA regelt de gouvernance om de datastroom te regelen. Dit gebeurt via het Clinical Audit Board. DICA heeft hierin een adviserende rol.

Het ziekenhuis kan akkoord gaan met het voorstel of ze hier wel of niet aan willen deelnemen. Door akkoord te gaan met deelname conformeren zij zich dat ze akkoord gaan dat de data op een bepaalde manier verwerkt wordt. Er is altijd een akkoordverklaring van het ziekenhuis zelf nodig. In deze akkoordverklaring kan bijvoorbeeld staan dat de data wel gebruikt wordt voor het verwerken van data, maar dat de data niet gebruikt mag worden voor wetenschappelijk onderzoek. Het ziekenhuis is ‘in control’ over wat er met de data gebeurt.

Als dit allemaal akkoord is komt MRDM in beeld dat de route op deze manier gaat lopen. MRDM krijgt de data die in het beheersproces van MRDM komt. Vervolgens kan op basis van instructies gestart worden en komen de uiteindelijke resultaten in het MijnDICA-portal. Het portal is van DICA, maar DICA kan niet in dit portal, omdat hier persoonsgegevens in staan.

MRDM stelt de data geanonimiseerd aan DICA beschikbaar. In de data die beschikbaar komt voor DICA zitten volgens MRDM geen persoonsgegevens. Zo is er voor DICA ook geen rol als verwerkingsverantwoordelijke of verwerker. Op basis hiervan worden er ook analyses gedaan voor het DICA-jaarrapport. Deze data is niet te herleiden naar persoonsgegevens’, zo besluit Paul zijn betoog.

Verwerkersovereenkomst

In de verwerkersovereenkomst die recent is toegestuurd naar ziekenhuizen hanteert MRDM het BOZ-model-verwerkersovereenkomst. ‘Deze overeenkomst is overlegd met de Nederlandse Vereniging voor Zorgverzekeraars (NVZ). De NVZ heeft hier kritisch naar gekeken en uiteindelijk een positief advies over gegeven. Het doel van MRDM is dat elk ziekenhuis op 25 mei 2018, bij het ingaan van de verordening, dat het ziekenhuis een overeenkomst is die juist is en past bij de actuele situatie’, vertelt Paul.

Hand-outs presentatie

 

MRDM opnieuw succesvol geaudit voor ISO27001 en NEN7510 Categorie: Nieuws

Na een succesvolle audit in februari, is MRDM per 11 maart opnieuw gecertificeerd voor ISO27001 en NEN7510. De certificaten worden uitgegeven wanneer processen, beleid en kennisopbouw van een organisatie voldoen aan de strenge normen van het internationale ISO…

Door MRDM opnieuw succesvol geaudit voor ISO27001 en NEN7510
Lees meer

ICHOM en MRDM bundelen krachten om zorguitkomsten op internationale schaal te vergelijken Categorie: Nieuws

Trots kondigen wij onze samenwerking aan met het International Consortium for Health Outcomes Measurement (ICHOM) om het ICHOM Global Benchmarking Platform te lanceren. Het platform stelt zorgaanbieders in staat om de belangrijkste uitkomsten voor de patiënt te vergelijken…

Door ICHOM en MRDM bundelen krachten om zorguitkomsten op internationale schaal te vergelijken
Lees meer