Convenant xds … [datum] Inhoud



Dovnload 284.06 Kb.
Pagina1/4
Datum23.06.2018
Grootte284.06 Kb.
  1   2   3   4

[Logo’s]




Convenant XDS …

[datum]



Inhoud


Convenant XDS … 1

[datum] 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 3

DE ONDERGETEKENDEN 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 3

OVERWEGENDE DAT 2

KOMEN OVEREEN ALS VOLGT 3

Artikel 1 – Begrippen 3

Artikel 2 – Doel en reikwijdte Convenant 4

Artikel 3 – Uitgangspunten samenwerking en verplichtingen Partijen 5

Artikel 4 – Dienstverlening [Regio-organisatie A] 5

Artikel 5 – Governance 5

Artikel 6 – Privacy en informatiebeveiliging 6

Artikel 7 – Duur en beëindiging 9

Artikel 8 – Bijlagen 9

Artikel 9 – Algemene bepalingen 9

Ondertekening Convenant XDS [Infrastructuur-naam] 11

Ondertekening Convenant XDS [Infrastructuur-naam] 12

Bijlage 1 Gedragscode EGiZ 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 2

Bijlage 2 Afspraken werkwijze en besluitvorming Stuurgroep Privacy en Informatiebeveiliging 2

1.Introductie 2

2.Leden van de Stuurgroep 2

3.Vergaderingen 2

Bijlage 3 Afspraken en werkwijze besluitvorming Programmaraad 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 1

1.Introductie 1

2.Algemeen 1

3.Vergaderingen 1

4.Leden van de Programmaraad 1

Bijlage 4 Afspraken werkwijze en besluitvorming Privacy-commissie 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 2

1.Introductie 1

2.Leden van de Privacy-commissie 1

3.Vergaderingen 1

4.Overige activiteiten 2

Bijlage 5 Gebruik BSN 1

Convenant XDS [Infrastructuur-naam] 14 oktober 2014 1

1.Vastleggen van toestemming/bezwaar inclusief basis patiëntgegevens 1

Input vastleggenToestemming 1

vastleggenToestemming 1

Output: vastleggenToestemmingResponse 1

2.Opvragen van actuele toestemming/bezwaar 2

Input: getActueleToestemming 2

getActueleToestemmingType 2

output: getActueleToestemmingResponse 2

getActueleToestemmingResponseType 2

3.Opvragen wijzigingshistorie toestemming 3

Input: getWijzigingshistorie 3

getWijzigingshistorieType 3

output: getWijzigingsHistorieResponse 3


DE ONDERGETEKENDEN


[Regio-organisatie A], gevestigd en kantoorhoudend te [adres A], te dezen rechtsgeldig vertegenwoordigd door [vertegenwoordiger A, functie A], hierna te noemen “[A]”;
en de volgende partijen, hierna afzonderlijk aan te duiden als “Zorgaanbieder” en gezamenlijk aan te duiden als “de Zorgaanbieders”.
[organisatie B], gevestigd en kantoorhoudend te [adres B], te dezen rechtsgeldig vertegenwoordigd door [vertegenwoordiger B, functie B], hierna te noemen “[B]”;
[organisatie C], gevestigd en kantoorhoudend te [adres C], te dezen rechtsgeldig vertegenwoordigd door [vertegenwoordiger C, functie C], hierna te noemen “[C]”;
[Regio-organisatie A] en de Zorgaanbieders hierna gezamenlijk aan te duiden als “Partijen”

OVERWEGENDE DAT





  • Partijen al geruime tijd samenwerken aan elektronische informatie-uitwisseling in [regio-omschrijving], met als doel het verhogen van de kwaliteit en de efficiency van bestaande en nog te ontwikkelen samenwerking in zorgketens en het verhogen van de doelmatigheid van de zorg in het algemeen door elektronische communicatie en informatie-uitwisseling, hetgeen moet leiden tot vermindering van administratieve lasten en overdrachtsproblemen;



  • Partijen daarnaast de betrokkenheid van patiënten bij hun eigen gezondheid en behandeling willen verbeteren door:

    • het vergroten van inzicht in en zeggenschap over de uitwisseling van medische gegevens;

    • toegang tot en communicatie over zijn medische gegevens;

    • het bieden van faciliteiten voor eHealth en zelfmanagement-toepassingen;



  • Partijen om deze doelen te bereiken gezamenlijk onder de naam [Regioorganisatie-naam] een geheel aan infrastructuur en diensten laten realiseren waarbij zij zijn aangesloten;



  • de Zorgaanbieders [Regio-organisatie A] hebben aangewezen als de partij om de verdere ingebruikname en uitbouw van de [Infrastructuur-naam] infrastructuur en diensten te coördineren en het beheer uit te voeren;



  • de regie over de uitvoering van dit programma en de onderliggende projecten, bij [Regio-organisatie A] ligt. [Regio-organisatie A] zal hierover rapporteren naar de Zorgaanbieders, op basis van gezamenlijk vast te stellen beleid en prioriteiten. Hiervoor moet een formele samenwerking worden afgesproken, hetgeen onderdeel van dit convenant is;



  • de gegevensuitwisseling via [Infrastructuur-naam] dient plaats te vinden in overeenstemming met geldende wet- en regelgeving, in het bijzonder de Wet geneeskundige behandelingsovereenkomst (Wgbo) en de Wet bescherming persoonsgegevens (Wbp);



  • heldere en toepasbare set (gedrags-)regels en bijbehorende normen voor gegevensuitwisseling tussen zorgaanbieders, op basis van de normen in de Wgbo en de Wbp, nader zijn uitgewerkt in de Gedragscode Elektronische Gegevensuitwisseling in de Zorg (Gedragscode EGiZ);



  • de Zorgaanbieders ten aanzien van de gegevensverwerking via [Infrastructuur-naam] gezamenlijk zullen optreden als verantwoordelijke in de zin van de Wbp;



  • iedere Zorgaanbieder afzonderlijk optreedt als verantwoordelijke ten aanzien van de gegevensverwerking middels de zorginformatiesystemen binnen de eigen organisatie;



  • Partijen hun wederzijdse rechten en verplichtingen met betrekking tot de elektronische informatie-uitwisseling via [Infrastructuur-naam] wensen vast te leggen in dit convenant;

KOMEN OVEREEN ALS VOLGT

Artikel 1 – Begrippen


In deze overeenkomst hebben de volgende begrippen, telkens aangeduid met een hoofdletter, in enkelvoud en in meervoud, de volgende betekenis:

Betrokkene:

degene op wie een Persoonsgegeven betrekking heeft, in dit Convenant de

patiënt/cliënt;



Bewerker:

de bewerker in de zin van de Wbp, zijnde degene die ten behoeve van de Verantwoordelijke(n) persoonsgegevens verwerkt, zonder aan diens rechtstreeks gezag onderworpen te zijn;

Bijlagen:

bijlagen bij deze overeenkomst, welke hiervan integraal onderdeel uitmaken;

Convenant:

dit Convenant, met inbegrip van de daarbij behorende bijlagen;

Elektronisch

Uitwisselingssysteem:



een systeem waarmee Zorginformatiesystemen van Zorgaanbieders aan elkaar worden gekoppeld of waarmee Persoonsgegevens kunnen worden gedeeld of uitgewisseld;

Gedragscode EGiZ:

de Gedragscode Elektronische Gegevensuitwisseling in de Zorg, versie juni 2013, zoals aangehecht in Bijlage 1 bij dit Convenant;

Persoonsgegeven:

elk gegeven betrekking hebbende op een geïdentificeerde of identificeerbare persoon;

Privacy-commissie:

de Privacy-commissie van [Infrastructuur-naam];

Programmaraad:

De Programmaraad van [Infrastructuur-naam];

Stuurgroep:

de Stuurgroep Privacy en Informatiebeveiliging van [Infrastructuur-naam];

Verantwoordelijke:


de verantwoordelijke ten aanzien van de gegevensverwerking via [Infrastructuur-naam] XDS als bedoeld in de Wet bescherming persoonsgegevens;

Wbp:

Wet bescherming persoonsgegevens;

Wgbo:

Wet geneeskundige behandelingsovereenkomst;

Zorgaanbieder:

een zorgaanbieder als bedoeld in artikel 1 sub c van de Wet gebruik burger service nummer in de zorg, zijnde een zorgaanbieder als bedoeld in artikel 1 Kwaliteitswet zorginstellingen dan wel een beroepsbeoefenaar die zijn beroep uitoefent anders dan in het kader van een instelling als bedoeld in artikel 1 van de Kwaliteitswet zorginstellingen;

Zorginformatiesysteem:

het informatiesysteem van een Zorgaanbieder voor de elektronische verwerking van zorginformatie en Persoonsgegevens;

[Infrastructuur-naam]

het door Partijen gerealiseerde geheel aan infrastructuur en diensten.


Artikel 2 – Doel en reikwijdte Convenant

2.1 Het doel van dit Convenant is het vastleggen van de (juridische) uitgangspunten rondom de elektronische informatie-uitwisseling van patiëntgegevens via [Infrastructuur-naam] en de besluitvorming hierover.


Artikel 3 – Uitgangspunten samenwerking en verplichtingen Partijen

3.1 Partijen committeren zich aan de uitgangspunten voor het inrichten van [Infrastructuur-naam], zoals beschreven in de tussen [Regio-organisatie A] en de afzonderlijke zorgaanbieders gesloten overeenkomst [RSO-overeenkomst] en dit Convenant.

3.2 Partijen zullen optreden als goede Convenant-partners en zullen de in het Convenant genoemde uitgangspunten en doeleinden verwezenlijken.

3.3 De Zorgaanbieders treden gezamenlijk op als opdrachtgever m.b.t. de kaders en hoofdlijnen van het [Infrastructuur-naam]-programma en de daarin te stellen prioriteiten. Daarbij stellen zij ook gezamenlijk het inhoudelijke beleid vast ten aanzien van de gegevensuitwisseling.

3.4 Binnen de in dit Convenant genoemde kaders kunnen de Zorgaanbieders individueel of in kleinere samenwerkingsverbanden optreden als opdrachtgever voor deelprogramma's en deelprojecten.


Artikel 4 – Dienstverlening [Regio-organisatie A]


4.1 [Regio-organisatie A] zal binnen het kader van dit Convenant aan de Zorgaanbieders de
volgende diensten verlenen:

  • de XDS-diensten, zoals nader omschreven in de met de Zorgaanbieders gesloten overeenkomsten dienstverlening [RSO-overeenkomst];

  • ondersteunende diensten, bestaande uit:

    • het initiëren, vastleggen en bewaken van benodigde (ICT-)ketenafspraken tussen zorgaanbieders;

    • het identificeren van knelpunten en/of verdere verbetermogelijkheden m.b.t. het gebruik van de infrastructuur en op basis daarvan acteren of adviseren;

    • het verschaffen van aanvullende kennis en faciliteiten aan instellingen en beroepsbeoefenaren werkzaam in de gezondheidszorg, om de samenwerking in de zorgketens te bevorderen en/of te verbeteren.

Artikel 5 – Governance


5.1 De Zorgaanbieders stellen een Stuurgroep Privacy en Informatiebeveiliging in. Binnen de Stuurgroep besluiten de Zorgaanbieders over het uitoefenen van hun verantwoordelijkheid in de zin van de Wet bescherming persoonsgegevens (Wbp). De besluitvorming betreft in het bijzonder de doeleinden en de reikwijdte van de gegevensverwerking die via de XDS- infrastructuur plaatsvindt en de maatregelen op het gebied van informatiebeveiliging zoals genoemd in artikel 6.

5.2 De Zorgaanbieders wijzen in onderling overleg een voorzitter van de Stuurgroep aan. Ieder van de Partijen wijst een vertegenwoordiger aan die bevoegd is om namens deze Partij zijn stem uit te brengen. De Stuurgroep overlegt op basis van de Afspraken werkwijze en besluitvorming Stuurgroep, zoals aangehecht in Bijlage 2.

5.3 Partijen stellen een Programmaraad [Infrastructuur-naam] in. In de Programmaraad nemen vertegenwoordigers van de Zorgaanbieders plaats met inhoudelijke deskundigheid op het gebied van informatie-uitwisseling in de zorg. De Zorgbelang-organisatie in de regio [regionaam], georganiseerd en met kennis ondersteund vanuit [Regio-organisatie A], zal een adviesrecht worden verleend ten aanzien van de onderwerpen die in de Programmaraad aan de orde komen.

5.4 Ieder van de Partijen wijst een vertegenwoordiger aan die bevoegd is om namens deze Partij zijn stem uit te brengen. De taken en verantwoordelijkheden van de Programmaraad en de wijze waarop de Programmaraad overlegt zijn nader uitgewerkt in Afspraken werkwijze en besluitvorming Programmaraad, zoals aangehecht in Bijlage 3.

5.5 Partijen stellen een Privacy-commissie [Infrastructuur-naam] in. De Privacy-commissie houdt toezicht op de bescherming van de persoonlijke levenssfeer van Betrokkenen in verband met de verwerking van Persoonsgegevens. De Privacy-commissie brengt haar advies uit aan de Stuurgroep Privacy en Informatiebeveiliging.

5.6 De leden van de Privacy-commissie worden benoemd door de Stuurgroep. De taken en verantwoordelijkheden van de Privacy-commissie en de wijze waarop de Privacy-commissie overlegt zijn nader uitgewerkt in Afspraken werkwijze en besluitvorming Privacy- commissie , zoals aangehecht in Bijlage 4.

5.7 De Stuurgroep, de Programmaraad en de Privacy-commissie worden bij hun werkzaamheden ondersteund door IZIT.

Artikel 6 – Privacy en informatiebeveiliging

6.1 De Zorgaanbieders treden ten aanzien van de verwerking van Persoonsgegevens via [Infrastructuur-naam] gezamenlijk op als Verantwoordelijke. De Zorgaanbieders zijn ieder verantwoordelijke voor de gegevensverwerking in de eigen zorginformatiesystemen die zijn aangesloten op [Infrastructuur-naam].

6.2 De Verantwoordelijke zal de binnen het wettelijke kader voorgeschreven passende technische en organisatorische maatregelen (doen) treffen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van Persoonsgegevens te voorkomen en omvatten in ieder geval de formulering van het te hanteren autorisatiebeleid, na advies door de Stuurgroep en de Privacy-commissie. De gehanteerde beveiligingsmaatregelen voldoen aan de toepasselijke NEN-normen, waaronder de NEN 7510. De Verantwoordelijke informeert de Privacy-commissie over de getroffen beveiligingsmaatregelen.

6.3 Ten behoeve van de informatiebeveiliging en de uitoefening van patiëntenrechten zal een gebruiksregistratie in stand worden gehouden. De Betrokkene op wie de gegevens in de gebruiksregistratie betrekking hebben zal overeenkomstig de toepasselijke wettelijke voorschriften inzage worden verleend. Aan anderen worden de gegevens niet verstrekt, behoudens een wettelijke verplichting daartoe.

6.4 De Verantwoordelijke draagt, overeenkomstig de Gedragscode EGiZ, zorg voor de verstrekking van heldere en actuele publieksinformatie over de gegevensuitwisseling via [Infrastructuur-naam].

6.5 De Zorgaanbieders dragen, overeenkomstig de Gedragscode EGiZ, ieder afzonderlijk zorg voor:



  • de inrichting van een klantloket voor uitoefening van patiëntrechten m.b.t. XDS [Infrastructuur-naam], eventueel als onderdeel van bestaande klantloketten;

  • persoonlijke informatieverstrekking aan patiënten m.b.t. de gegevensuitwisseling;

  • de noodzakelijke patiënttoestemming voor uitwisseling van diens gegevens.

Vanuit de wens om optimale duidelijkheid aan Betrokkenen te verschaffen geeft [Regio-organisatie A] binnen de door de Verantwoordelijke gestelde kaders, uitvoering aan het regionale beleid.

6.6 [Regio-organisatie A] treedt uitsluitend op als bewerker van de persoonsgegevens en verwerkt de persoonsgegevens uitsluitend in opdracht van de Verantwoordelijke. [Regio-organisatie A] verwerkt persoonsgegevens conform de Wet bescherming persoonsgegevens (Wbp), de Wet geneeskundige behandelingsovereenkomst (Wgbo) en overige toepasselijke regelgeving.

6.7 [Regio-organisatie A] is gerechtigd om bij de verwerking een of meerdere subbewerkers in te schakelen. Met deze subbewerkers zullen overeenkomsten worden afgesloten waarin alle verplichtingen uit dit Convenant die relevant zijn voor de beveiliging van de verwerkte Persoonsgegevens zullen worden overgenomen.

6.8 [Regio-organisatie A] zal de in art. 6.2 genoemde maatregelen in opdracht van de Verantwoordelijke feitelijk ten uitvoer leggen.

6.9 [Regio-organisatie A] en de door haar ingezette personen zijn verplicht tot geheimhouding van Persoonsgegevens waarvan zij bij het verwerken ten behoeve van de Verantwoordelijke kennis nemen, behoudens en voor zover enig wettelijk voorschrift hen tot openbaarmaking en/of afgifte verplicht. [Regio-organisatie A] zal erop toezien dat de door haar ingezette personen deze geheimhoudingsverplichting betrachten. Daarnaast verzekert [Regio-organisatie A] dat de geheimhoudingsverplichting een onderdeel is van de arbeidsvoorwaarden van al haar medewerkers.

6.10 [Regio-organisatie A] zal slechts tegemoet komen aan vorderingen van derde partijen, waaronder overheidsinstanties, tot het verstrekken van (persoons-)gegevens indien zij hiertoe verplicht is op grond van wet- en regelgeving of op grond van een rechterlijke uitspraak.

6.11 [Regio-organisatie A] zal de Verantwoordelijke onverwijld informeren indien een daartoe bevoegde overheidsinstantie een op de wet gebaseerd verzoek tot verstrekking van Persoonsgegevens heeft gedaan.

6.12 [Regio-organisatie A] zal de Verantwoordelijke onverwijld in kennis stellen van inbreuken op de beveiligingsmaatregelen die [Regio-organisatie A], of een door haar ingeschakelde subbewerker, heeft getroffen indien redelijkerwijs kan worden aangenomen dat deze inbreuk leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de Persoonsgegevens en de persoonlijke levenssfeer van de Betrokkene zijn verbonden.

6.13 Op eerste verzoek van de Verantwoordelijke zal [Regio-organisatie A] haar of een door de Verantwoordelijke aangewezen onafhankelijke derde de mogelijkheid geven te controleren of [Regio-organisatie A] de beveiligingsmaatregelen als voorzien in dit Convenant naleeft. De Verantwoordelijke zal hiertoe [Regio-organisatie A] tijdig schriftelijk berichten wanneer zij of de onafhankelijke derde de controle wenst uit te voeren. In gezamenlijk overleg zal hiervoor een datum worden bepaald. In beginsel zal een controle ingevolge dit artikel lid maximaal tweemaal per jaar plaatsvinden, tenzij de Verantwoordelijke aanwijzingen heeft dat [Regio-organisatie A] haar verplichtingen ter zake niet nakomt, één en ander ter beoordeling van de Verantwoordelijke.

6.14 [Regio-organisatie A] zal aan de Verantwoordelijke of de door haar aangewezen geaccrediteerde auditor, ten behoeve van de controle toegang verschaffen tot haar kantoren, werkruimten en systemen en zal op verzoek van de Verantwoordelijke of de door haar aangewezen derde kosteloos assisteren bij deze controle en vragen ter zake beantwoorden.



Artikel 7 – Duur en beëindiging

7.1 Dit Convenant treedt in werking na ondertekening door alle Partijen en wordt aangegaan voor onbepaalde tijd. Zodra het Convenant door een Partij is ondertekend, zal deze, ook voorafgaande aan ondertekening door alle Partijen, aan de bepalingen van dit Convenant gebonden zijn.

7.2 Opzegging van dit Convenant dient door een Partij schriftelijk te geschieden aan alle overige Partijen met inachtneming van een opzegtermijn van zes maanden. Bij opzegging door een enkele Partij of enkele Partijen blijft het Convenant voor de overige Partijen onverminderd van kracht.

7.3 Dit Convenant wordt herzien indien er nieuwe Zorgaanbieders partij worden en/of hun deelname beëindigen en periodiek elk jaar voor de dan geldende situatie. Ieder Partij kan verzoeken om aanpassingen aan het Convenant.

7.4 Partijen zullen in overleg treden over beëindiging van dit Convenant indien er geen gegevensverwerking meer plaatsvindt via [Infrastructuur-naam] of indien een of meerdere Partijen heeft/hebben opgezegd.



Deel met je vrienden:
  1   2   3   4


De database wordt beschermd door het auteursrecht ©tand.info 2017
stuur bericht

    Hoofdpagina