U bent hier

Privacy & Informatieveiligheid

Het healthdata.be-team neemt in haar activiteiten zowel technische als niet-technische maatregelen om de bescherming te garanderen van de persoonlijke levenssfeer van de patiënt, de zorgverlener en van het medisch beroepsgeheim.

Technische maatregelen

Het healthdata.be-platform doet beroep op het eHealth-platform als Trusted Third Party en integreert de volgende elektronische basisdiensten van het eHealth-platform in haar basisarchitectuur: de beveiligde elektronische brievenbus; de codering, anonimisering & trusted third party; de eHealth-certificaten; het geïntegreerd gebruikers- en toegangsbeheer; en het systeem voor end-to-end vercijfering.

Door het gebruik van de pseudonymisatie van het eHealth-platform, ontvangt het healthdata.be-platform nooit de identiteit (noch INSZ, naam, voornaam etc.) van de patiënt. Tijdens de verzending worden de medische en meta- gegevens geëncrypteerd waardoor ze niet leesbaar zijn voor derden.

Er werd op het healthdata.be-platform een cascade aan gebruikers- en toegangsbeheer ingesteld, waarbij enkel een beperkt aantal van healthdata.be-medewerkers toegang hebben tot de meest gevoelige informatie.

Het healthdata.be-team bewaart de gegevens van de verschillende registers die op het interne datawarehouse bewaard worden, van elkaar gescheiden. Daarbij worden de door het eHealth-platform gepseudonimiseerde identificatoren door het healthdata.be-platform een tweede maal versleuteld met een register-specifiek algoritme. Bij het ter beschikking stellen van een gegevensset voor wetenschappelijke analyse, worden de door het eHealth-platform gepseudonimiseerde identificatoren door het healthdata.be-platform een tweede maal versleuteld met een analyse-specifiek algoritme.

In de extranet-omgeving van het datawarehouse, waarin feedbackrapporten voor de gemachtigde gebruikers ter beschikking gesteld worden, worden enkel geaggregeerde gegevens bewaard, zodat de identificatie van personen niet mogelijk is.

Op het healthdata.be-platform werd de software IBM InfoSphere Guardium geïnstalleerd die realtime database activiteit monitoring en bescherming mogelijk maakt. Met deze audit software worden loggings aangemaakt die elke gebruiker, toegang, periode van toegang, activiteit en resultaat van deze activiteit permanent opslaat en opvraagbaar maakt. 

De software IBM InfoSphere Guardium voorziet in een API (Application Programming Interface) waarmee de loggings via een online portal toegankelijk maakt. Het healthdata.be-team startte met de ontwikkeling van deze portal om zo, in een eerste fase, de veiligheidsconsulenten van de gegevensverstrekkers te informeren over de gebruikers en het gebruik van hun gegevens op het healthdata.be platform. Deze portal zal in 2017 in productie gaan.

Het healthdata.be-team laat een externe, onafhankelijke en gespecialiseerde IT-dienstenleverancier technische audits uitvoeren op de ontwikkelde applicaties en de infrastructuur. De zogenaamde “vulnerability asessments” en “penetration tests” werden zowel met automatische tools als manueel uitgevoerd. De gerapporteerde bevindingen worden door de uitvoerders toegelicht aan de projectleiders en de veiligheidsverantwoorderlijke van het healthdata.be-platform.

De applicaties en gegevens van het healthdata.be-platform worden beheerd op infrastructuur exclusief voor het platform in het datacenter van ARXUS NV. Voorafgaand aan deze housing werd door de veiligheidsverantwoordelijke van het healthdata.be-team een veiligheids- en privacy audit gedaan. Een Service delivery officer werd door het healthdata.be-team aangesteld om, samen met de juridische dienst van het WIV-ISP, de technische en niet-technische aspecten van de hosting in een Samenwerkingsovereenkomst vorm te geven. Daarbij werd ook een Service Level Agreement tussen beide partijen afgesloten. 

Door de hosting bij ARXUS NV is er een fysieke scheiding met de infrastructuur en applicaties van de Trusted Third Party van het healthdata.be-platform, zijnde het eHealthplatform dewelke door de datacenters van de VZW Smals beheerd worden.

Niet-technische maatregelen

Voor de dienst healthdata.be van het WIV-ISP werden een veiligheidsverantwoordelijke en een verantwoordelijke gezondheidszorgbeoefenaar aangeworven. 

De veiligheidsverantwoordelijke is onder meer belast met a) het opstellen van minimale normen betreffende de fysieke en logische veiligheid van de persoonsgegevens; b) het opstellen van een controlelijst die toelaat om het toepassen van deze minimale normen betreffende de fysieke en logische veiligheid van de Register-gegevens na te gaan; c) het toezien op het gebruikers- en toegangsbeheer tot de persoonsgegevens; d) het voorzien van een verbintenis met betrekking tot de vertrouwelijkheid met elk personeelslid die toegang krijgt tot het healthdata-platform in uitvoering van huidige overeenkomst, ongeacht zijn werkgever, dat toegang heeft tot de persoonsgegevens; e) het auditeren van de basisarchitectuur voor, enerzijds, de gegevensverzameling en, anderzijds, het data warehouse, evenals elke wijziging ervan; f) het medeopstellen van machtigingsaanvragen voor het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid; en g) het medeopstellen van unieke dossiers voor het eHealth-platform.

Alle interne en externe medewerkers, tijdelijk of langdurig, hebben een Non-Disclosure Agreement (NDA), zoals bedoeld in d), met het WIV-ISP getekend.

De verantwoordelijk arts van het healthdata.be-platform is onder meer belast met a) het waken over de vertrouwelijkheid van de persoonsgegevens en er voor te zorgen dat elk personeelslid die toegang krijgt tot het healthdata.be-platform slechts toegang heeft tot die gegevens die het personeelslid werkelijk nodig heeft bij het uitoefenen van zijn taak; b) het toezien op de uitvoering van de richtlijnen van de small cell risk analyses om te verzekeren dat aan de hand van de ter beschikking gestelde persoonsgegevens geen her-identificatie van een betrokken patiënt mogelijk is; c) het medeopstellen van machtigingsaanvragen voor het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid; en d) het medeopstellen van unieke dossiers voor het eHealth-platform.

Het healthdata.be-team heeft , op vraag van het secretariaat van het Sectoraal Comité Gezondheid, een pool van externe experten in Small Cell Risk Assessments samengesteld. Het Sectoraal Comité zal in haar beraadslagingen over de projecten die op het healthdata.be-platform geoperationaliseerd worden, één van deze experten aanwijzen om de noodzakelijke maatregelen te beschrijven waarin moet worden voorzien om de heridentificatie aan de hand van de aan de onderzoeker ter beschikking gestelde set van gepseudonimiseerde persoonsgegevens, te voorkomen. In de loop van 2017 zal met deze externe experten een gemeenschappelijke methodiek vastgelegd worden.

Niet gevonden wat u zoekt? Contacteer ons via het healthdata support center.

Read more