Vertrouwelijkheid DIS-data


Anonimiteit persoonsgegevens: pseudonimisering

Persoonlijke gegevens van de patiënt – zoals naam, adres en woonplaats – mogen op basis van de Wet op de Bescherming Persoonsgegevens (WBP) niet zomaar naar DIS worden verzonden of in DIS worden opgeslagen. Dit geldt niet voor de eerste vier cijfers van de postcode, de landcode, het geboortejaar en het geslacht. Patiëntgegevens moeten gepseudonimiseerd worden aangeleverd. Dit houdt in dat de gegevens worden omgezet naar een niet tot de oorspronkelijke persoon herleidbare unieke code, voordat ze worden verzonden aan DIS. Deze pseudonimisering vindt tweemaal plaats: (1) Via aanleversoftware, de Privacy- en Verzend Module (PVM) bij de zorgaanbieder zelf en (2) in een beveiligde omgeving bij een zogenaamde Trusted Third Party (i.c. ZorgTTP). De bij ZorgTTP uitgevoerde stap is geheim voor zowel de zorgaanbieder als voor DIS. Vervolgens ontvangt DIS de gepseudonimiseerde data. De patiëntgegevens zijn dan niet meer te herleiden tot individuen waardoor het medisch beroepsgeheim gewaarborgd blijft.
Privacy- en Verzend Module

Zorgaanbieders kunnen hun gegevens uitsluitend gepseudonimiseerd naar DIS sturen via de Privacy- en Verzend Module (PVM). De PVM controleert de aangeboden persoonsgegevens en zet deze om in zogenaamde pre-pseudoniemen. Zo wordt de eerste versleuteling bij de bron uitgevoerd. Daarnaast anonimiseert de PVM de gegevens die niet mogen worden doorgegeven, zoals namen en volledige postcodes. De meest recente versie van de PVM is PVM-DIS versie 3.0.1 en DIS adviseert om deze versie te installeren. In deze versie zijn een aantal issues opgelost zoals het gebruik van PVM in combinatie met een 64 Bits machine.

Er zijn 2 varianten van de PVM software beschikbaar, de volledige PVM versie en de zogenaamde ‘headless’ PVM versie. De volledige PVM is bedoeld voor de zorgaanbieder en kan door de zorgaanbieder zelf worden geïnstalleerd. De installatieprocedure wordt beschreven in het document Installatie en gebruik PVM DIS. Indien gewenst kunnen softwareleveranciers de zogenaamde "headless" versie in hun software inbouwen zodat de zorgaanbieder zelf geen PVM software hoeft te installeren. De installatieprocedure wordt beschreven in Installatie en gebruik PVM DIS headless.

Nadat u heeft ingelogd (zie rechterkant van het scherm) kunt u via de informatiebestanden beide varianten van de PVM software downloaden.

Minimale Dataset (MDS)

Zorgaanbieders zijn op grond van de Wet marktordening gezondheidszorg (Wmg) verplicht periodiek gegevens aan te leveren aan DIS. Dit gebeurt via de Minimale Dataset (MDS).  Hierin staan de gegevens uit de basisregistratie van de zorgaanbieders over wat zij de afgelopen maand aan zorg hebben geleverd en gedeclareerd. In samenwerking met de zorgaanbieders is nauwkeurig voorgeschreven welke gegevens ze in de MDS moeten aanleveren. In de MDS, die door de NZA wordt uitgegeven, staan data die verplicht moeten worden aangeleverd en data die optioneel kunnen worden aangeleverd. Deze specificaties hiervan staan omschreven in de documenten Standaard voor DIS Gegevensaanlevering door CZ zorgaanbieders , standaard voor DIS gegevensaanlevering voor de SZ zorgaanbieders, standaard voor DIS gegevensaanlevering voor FZ zorgaanbieders enStandaard voor DIS Gegevensaanlevering door GGZ zorgaanbieders . De aangeleverde data moeten volledig, tijdig en juist geregistreerd zijn. De zorgaanbieders zijn hier zelf verantwoordelijk voor. De NZa bewaakt de aanlevering van DBC-gegevens aan DIS en heeft de bevoegdheid om sancties op te leggen als een zorgaanbieder weigert aan de verplichting tot aanlevering te voldoen. DIS ontvangt de gegevens en controleert of ze volledig en correct zijn aangeleverd. Na controle worden de gegevens opgeslagen in het datawarehouse DIS. Maandelijks levert DIS de MDS uit aan de vijf wettelijke afnemers. 

Data-aanlevering en data-uitlevering: wie mag de data zien?

De individuele zorgaanbieders leveren de gegevens aan DIS ‘vertrouwelijk’ aan. DIS verstrekt de Minimale Dataset (zie bovenstaande tekst) aan een vijftal publieke organisaties die daar voor de uitoefening van hun wettelijke taken recht op hebben (Wet Marktordening Gezondheidszorg): het ministerie van VWS, de NZa, het CvZ, het CBS en DBC-Onderhoud. Deze organisaties gebruiken de data voor de uitvoering van hun wettelijke taken.
Aangezien de NZa als Zelfstandig bestuursorgaan (ZBO) de MDS gegevens voorschrijft en ontvangt geldt voor de gegevens die berusten bij de NZa de Wet openbaarheid van Bestuur (Wob).
De criteria voor uitlevering van gegevens aan derden, die in het kader van de Wob om gegevensuitlevering verzoeken, houden rekening met het vertrouwelijke karakter van de gegevens. Gegevens die te herleiden zijn naar individuele zorgaanbieders, verzekeraars of patiënten mogen op grond van de Wob niet uitgeleverd worden.
Voor verzoeken in het kader van de Wob zal het Wob-protocol gaan gelden. Dit protocol wordt op dit moment opgesteld, getoetst en wordt afgestemd met de NVZ, NFU, de Orde medisch specialisten, ZKN en GGZ-Nederland.

Indien derden om uitlevering van vertrouwelijke gegevens verzoeken, zal uitlevering alleen maar plaatshebben als de betreffende zorgaanbieders die de gegevens aan DIS hebben aangeleverd, toestemming hebben gegeven. Voor dit soort vertrouwelijke gegevensuitleveringen wordt op dit moment het Protocol gegevensgebruik DIS opgesteld. Zie voor meer informatie Uw zorgdata in vertrouwde handen.

Commissie van Toezicht DIS

De Commissie van Toezicht (CvT) DIS ziet toe op de kwaliteit van de gegevensverwerking en op de verspreiding van DIS-data. Daarnaast ziet de CvT DIS erop toe dat DBC Onderhoud, waar DIS als organisatie onderdeel van uitmaakt, voor haar onderhoudstaken alleen data toegeleverd krijgt voor zover dat past binnen de wettelijke taken van DBC Onderhoud. Een maal per jaar laat de CvT DIS een audit uitvoeren op het beheer en onderhoud van DIS.
Jaarlijkse audit

De Commissie van Toezicht DIS laat eenmaal per jaar door een externe partij een audit uitvoeren op het uitgevoerde beheer en onderhoud van DIS. De kwaliteit en integriteit van de gegevensverstrekking wordt onderzocht. Vragen naar aanleiding van de samenvatting van de audit kunt u schriftelijk stellen aan de Commissie van Toezicht DIS, Europalaan 40, 3526 KS Utrecht.  Organisatie

De databank DIS is als onafhankelijke organisatie ondergebracht bij DBC Onderhoud, onder de verantwoordelijkheid van bestuur en directie van DBC Onderhoud.

Sluit zoekvenster

Inloggen

Inloggen zorgaanbieder
(naar DIS portal)