AVG

Peridos bevat persoonsgegevens. Uiteraard gaan wij zorgvuldig met deze gegevens om en houden ons daarbij aan de geldende wetten en regelgeving.
Welke gegevens in Peridos zijn vastgelegd, wat we daarmee doen en welke rechten u heeft, leest u in ons privacystatement.

Is sinds de invoering van de AVG expliciete toestemming van de zwangere nodig voor het aanleveren van gegevens aan Peridos?
Nee, er is geen expliciete toestemming nodig.

Via de uitleg in de folder wordt duidelijk aangegeven dat gegevensverwerking in Peridos inbegrepen is in de deelname aan de prenatale screening op down-, edwards en patausyndroom en/of SEO. Gebruik van Peridos is daarmee onderdeel van de informed consent tot deelname.

Is er een verwerkersovereenkomst nodig tussen een verloskundige praktijk / echocentrum / ziekenhuis en Peridos / Regionaal centrum?
Nee, er is geen verwerkersovereenkomst nodig.

Uit juridische toetsing blijkt dat er geen sprake is van een verwerkersrelatie tussen Regionale Centra en zorginstellingen. Elk Regionaal Centrum (RC) is verwerkingsverantwoordelijke in de zin van artikel 4.7 AVG voor de verwerking van persoonsgegevens van de deelnemers binnen diens werkgebied, voor de taken die zij op grond van de WBO vergunning uitvoert.
Daarnaast geldt dat een zorginstelling voor haar eigen doel en vanuit een eigen verantwoordelijkheid de persoonsgegevens van haar cliënten verwerkt. Er is dus sprake van twee verwerkingsverantwoordelijken (het RC en de zorgaanbieder) die via Peridos persoonsgegevens met elkaar uitwisselen. Op grond daarvan hoeft er dan ook geen verwerkersovereenkomst te worden afgesloten.
De ‘Samenwerkingsovereenkomst voor het verwerken van persoonsgegevens’ en het ‘Gebruikersreglement Peridos’ vormen de basis voor de uitwisseling van persoonsgegevens tussen de zorgaanbieder en het RC.

Rechtmatig gebruik van uw Peridosaccount
‘het belang, de eisen en de risico’s in het kader van de bescherming van persoonsgegevens’

U heeft een aanvraag gedaan voor het sluiten van een kwaliteitsovereenkomst prenatale screening (counseling, SEO en/of NT) met één van de acht regionale centra die vanuit de Wet op het Bevolkingsonderzoek zijn aangewezen als vergunninghouder en de rol van regionale coördinator vervullen. Als contractant van het regionaal centrum bent u bevoegd in te loggen in Peridos; de landelijke database voor de prenatale screening. Hiermee heeft u toegang tot de gegevens van cliënten met wie u een zorgrelatie heeft binnen de praktijk waar u werkzaam bent. Graag maken wij u attent op het aspect van informatiebeveiliging ter bescherming van de privacy en rechten van cliënten.

Peridos

In opdracht van het RIVM is een landelijke database, Peridos (Perinatologisch Dossier), ontwikkeld voor de registratie van prenatale screening gegevens. De gegevens die in deze database worden vastgelegd betreffen :

  • Gegevens van praktijken en zorgverleners en respectievelijk de samenwerkings- en kwaliteitsovereenkomsten die zij zijn aangegaan met de regionale centra voor de uitvoering van de prenatale screening. Dit betreft algemene persoonsgegevens als bijv. naam, adres en AGB-code.
  • Gegevens van de zwangeren die gecounseld zijn en/of de combinatietest en/of de NIPT en/of een SEO hebben gekregen. Dit betreft naast algemene persoonsgegevens ook bijzondere persoonsgegevens als BSN-nummer en ook gegevens van counselinggesprekken en resultaten van de screeningstesten die de zwangere heeft laten uitvoeren.

AVG

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is de huidige Europese privacywet die toeziet op de verwerking van persoonsgegevens. Een van de zes* beginselen waaraan de verwerking van persoonsgegevens moet voldoen is dat gegevens goed beveiligd moeten zijn en vertrouwelijk moeten blijven (“integriteit en vertrouwelijkheid”).
* De overige 5 zijn:

  1. De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”)
  2. De verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”)
  3. De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn (“minimale gegevensverwerking”)
  4. De gegevens moeten juist zijn (“juistheid”)
  5. De gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”)

In dit kader mogen zo min mogelijk medewerkers toegang hebben tot persoonlijke gezondheidsinformatie. In het algemeen mag men alleen toegang krijgen tot deze gegevens in de volgende situaties: er bestaat een zorgrelatie tussen de gebruiker en de cliënt; de gebruiker voert een activiteit uit namens de persoon op wie de gegevens betrekking hebben; de specifieke gegevens zijn nodig om deze activiteit te ondersteunen.

Peridos hanteert dan ook strenge eisen voor wat betreft het borgen van de privacy van cliënten en zorgverleners. Zo is de toegang geregeld door middel van een fijnmazige rollen- en rechtenstructuur waarmee u als gebruiker alleen toegang krijgt tot delen van de applicatie waar u toe gerechtigd bent. Dit is gerealiseerd door middel van een persoonsgebonden account en tweefactorauthenticatie via Zorgportaal. Ook vindt database logging plaats. In deze logging wordt vastgelegd wanneer u als gebruiker toegang heeft gehad tot Peridos en wat u in het systeem heeft gedaan (bijv. gegevens aanleveren of uitslagen inzien). Dit maakt het tevens mogelijk om aan de eisen uit de AVG én de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg (per 1-7-2020) te voldoen die betrekking hebben op de rechten van betrokkenen.

De regionale centra zijn verantwoordelijk voor de plichten ten aanzien van de verwerking van gegevens in Peridos vanaf het moment dat deze worden aangeleverd door de deelnemende praktijken. De zorgpraktijken zijn verantwoordelijk voor het veilig omgaan met gegevens binnen de eigen praktijk en de eigen informatiesystemen. Als zorgverlener bent u verantwoordelijk voor rechtmatig gebruik van uw eigen Peridos-account en voor het beschermen van de privacy van uw cliënten.

Implicaties voor u als zorgverlener

Als zorgverlener die bij een bepaalde zorginstelling geregistreerd is als counselor, NT- en/of SEO-echoscopist in Peridos heeft u toegang tot de gegevens van zwangeren in die praktijk. Dit betreft niet alleen de verrichtingen die in de zorginstelling zijn uitgevoerd, maar het gehele traject van de prenatale screening en follow-up bij die zwangeren. Als u niet of niet meer werkt in deze zorginstelling of geen geldige kwaliteitsovereenkomst heeft, dan mag u geen toegang (meer) hebben tot deze informatie.

Dit betekent ook dat het niet toegestaan is in te (laten) loggen in Peridos met het account van een collega. Evenmin is het toegestaan dat u cliëntinformatie deelt met personen of instellingen die geen zorgrelatie (meer) hebben met de desbetreffende cliënt.

Gevolgen

Als er toch sprake is van onbevoegde toegang tot cliëntgegevens in Peridos of van het verzenden van cliëntgegevens via onbeveiligde e-mail, is er mogelijk sprake van schending van de privacy van de cliënt. Bijvoorbeeld: u laat een waarnemer die niet gekoppeld is met uw zorginstelling inloggen in Peridos met uw account. De waarnemer heeft in die situatie geen recht op toegang tot persoonlijke gezondheidsinformatie van uw cliënten en kan die toch inzien of zelfs bewerken. In het ergste geval kan dit in de praktijk leiden tot aansprakelijkheidsstelling voor klachten met betrekking tot geleverde zorg. U als zorgverlener op wiens account werd ingelogd bent dan medeverantwoordelijk.

Bij constateren van een dergelijk beveiligingsincident zal het regionaal centrum altijd een melding doen bij de landelijk beheerder informatiebeveiliging (LB-IB). Deze overlegt met de landelijk functionaris gegevensbescherming (FG) of in dit geval sprake is van een datalek dat gemeld moet worden bij de Autoriteit Persoonsgegevens (AP).

Het regionaal centrum koppelt de genomen of nog te nemen maatregelen terug naar de zorginstelling en adviseert over het voorkomen van beveiligingsincidenten/datalekken hiervan in de toekomst.

De Regionale Centra merken regelmatig dat counselingsgesprekken in het cliëntenregistratiesysteem of in Peridos op naam van een andere counselor geregistreerd worden dan op naam van degene die in werkelijkheid gecounseld heeft. Het komt zelfs voor dat praktijken waarnemers onder druk zetten om op andermans naam te registreren. We zien dat er zijn verschillende redenen zijn voor registratie op andermans naam, zoals counseling zonder kwaliteitsovereenkomst, niet bij de zorgorganisatie geregistreerd zijn in Peridos, en het behalen van voldoende counselingsgesprekken per jaar.
Door de registratie op andermans naam kunnen de Regionale Centra de kwaliteit van de counseling niet goed borgen. Belangrijk voor de zorginstelling en de betrokken zorgverleners is dat de registratie op andermans naam risico’s geeft op aansprakelijkheidsstelling. We lichten dit hieronder toe.

Het kan zijn dat een cliënt ontevreden is over de counseling, bijvoorbeeld omdat ze geen screeningstest heeft laten uitvoeren en haar kind een aangeboren aandoening heeft die met de screeningstesten opgespoord had kunnen worden. Indien een zorgverlener zonder kwaliteitsovereenkomst counselt over prenatale screening én de cliënt is ontevreden over de counseling, dan kan de zelfstandig zorgverlener of de werkgever/zorginstelling van de zorgverlener in loondienst aansprakelijk gesteld worden. Als een cliënt ontevreden is over de counseling en deze counseling is op naam van een andere zorgverlener geregistreerd in het cliëntregistratie¬systeem en/of in Peridos, dan kan deze persoon (mede)aansprakelijk gesteld worden. Dit is bovendien een vorm van fraude, waarvoor de zorginstelling aansprakelijk gesteld kan worden én de zorgverlener op wiens naam geregistreerd is.

Daarnaast willen wij u wijzen op uw en onze plichten in het kader van de Algemene Verordening Gegevensbescherming (AVG), zoals het borgen van de juistheid van gegevens, de beveiliging van de verwerking van persoonsgegevens en het melden van een inbreuk hierop. Het Regionaal Centrum zal registratie op andermans naam moeten melden aan de Autoriteit Persoonsgegevens en het RIVM. Tevens kan een melding bij de Inspectie Gezondheidzorg en Jeugd nodig zijn.
De risico’s zijn eenvoudig te voorkomen door de volgende regels te hanteren:
• Counseling prenatale screening mag alleen uitgevoerd worden door counselors die een kwaliteitsovereenkomst counseling hebben én geregistreerd zijn in de zorginstelling als counselor.
• De counselingsgesprekken moeten geregistreerd worden op de naam van degene die het counselingsgesprek heeft gevoerd.
• Namen van de counselors mogen niet worden gewijzigd voorafgaand aan de aanlevering van de registratiegegevens aan Peridos.