Samen met het regionale partnerschap IGD Rijnmond, heeft het landelijk programmabureau op 31 maart een kennistafel georganiseerd over Data Privacy Impact Assessment (DPIA). Tijdens de bijeenkomst heeft Afke de Vries, Functionaris Gegevensbescherming van het Ikazia, de aanwezigen geïnformeerd over de totstandkoming van de eerste DPIA en de benadering voor de toekomst. DPIA is een set van vragen bedoeld om mogelijke privacy-risico's te identificeren en te evalueren.
Er werd gesproken over de 'eerste DPIA', waarbij het belangrijk is om te benadrukken dat een DPIA geen statisch proces is en regelmatig moet worden bijgewerkt in het geval van relevante ontwikkelingen. Er werd verkend of er mogelijkheden zijn om als regio's samen te werken op dit gebied. De Vries werd tijdens de sessie bijgestaan door twee van haar werkgroep-collega's: Sandra van Hattem-Bout (werkzaam bij de kraamzorgorganisatie RST Zorgverleners) en Zeeger Beukenhorst (werkzaam bij het laboratorium en echocentrum Star-shl).
Werkgroep Privacy en Security
De Werkgroep Privacy en Security, die is voortgekomen uit een bestaande regionale samenwerking die zich bezighoudt met contractvraagstukken in ziekenhuizen (bijvoorbeeld bij de implementatie van Zorgplatform), heeft in samenwerking met leverancier HINQ een DPIA uitgevoerd in het partnerschap IGD Rijnmond. Deze bestaande groep is uitgebreid met vertegenwoordiging vanuit de eerste lijn (verloskundigen, kraamzorg, echo en Centrum Jeugd en Gezin) voor het VIPP Babyconnect project.
Naast onderwerpen als BIV-classificatie (betrouwbaarheid, integriteit en veiligheid) en de contractenset, heeft de groep zich dus ook beziggehouden met het opstellen van een DPIA. Gegevensuitwisseling wordt in de geboortezorg en in de politiek steeds meer gezien als een belangrijke voorwaarde voor betere samenwerking in de zorg.
Privacy-risico's
DPIA wordt doorgaans bij een keuze voor een nieuw product of dienst uitgevoerd. Als onderdeel van het contract met HINQ als regionaal platform, is een DPIA vereist. De Vries legt uit: "Een DPIA kan worden gezien als een set vragen die gebruikt wordt om het gehele proces van gegevensverwerking te beschrijven." Enkele voorbeelden van deze vragen zijn: welke gegevens worden verwerkt? Wie heeft toegang tot deze gegevens? Met welk doel worden de gegevens gedeeld?
Door middel van deze vragen worden mogelijke privacy-risico's geïdentificeerd en beschrijft de DPIA de maatregelen die genomen kunnen worden om deze risico's te minimaliseren. De DPIA brengt dus privacyrisico's in kaart en bepaalt welke maatregelen nodig zijn om deze terug te brengen tot een acceptabel niveau. Tijdens deze kennistafel werd bijvoorbeeld het onderwerp 'lokalisatie-index' besproken. Dit is een methode om te bepalen bij welke zorgaanbieders de gegevens van een cliënt beschikbaar zijn, maar dit brengt natuurlijk ook de nodige aandachtspunten en privacyvraagstukken met zich mee.
Tip: in deze opleggers wordt meer uitleg gegeven over een DPIA:
- Vanuit partnerschap Amsterdam-Amstelland-Almere: Oplegger DPIA eerste lijn
- Vanuit partnerschap Rijnmond: Informatiepakket voor de gehele contractenset