DIT IS EEN GECONDENSEERDE PUBLIEKE VERSIE. VOOR VRAGEN VERZOEKEN WIJ U CONTACT OP TE NEMEN MET ZORGTTP.
Privacybescherming bij het delen van medische data Gijs van den Broek & Hans van Vlaanderen SURFacademy, 15 mei 2013
Inhoud Presentatie • Zorginformatie: een indeling; • ZorgTTP: bedrijfskenmerken; • Dienstverlening: – Pseudonimisatie platform; – TresTM, platform in ontwikkeling;
• Discussie
15 mei 2013
Delen van medische data
2
ZorgTTP De zorginformatiewereld
Zorginformatie Patiënt Behandeling Onderzoek Statistiek Financiering
15 mei 2013
4
Zorginformatie
Patiënt en Behandeling
Onderzoek & Statistiek
Structuur & Toezicht
• WGBO • Persoonsgegevens • Beperkte toegang
• WBP • Code Goed Gebruik • METC
• WBP • Financiering • Kwaliteitsindicatoren
Persoonsgegevens
Pseudoniem
Anoniem 15 mei 2013
Delen van medische data
5
Ontwikkelingen • Steeds bredere analysebehoefte: – Koppeling zo veel mogelijk relevante bronnen. Versus
• Nieuwe privacyrichtlijn (GDPR): – Pseudonimisatie valt binnen richtlijn; – Privacy Impact Assessment (PIA); – Expliciete toestemming.
Bedreiging of Kans? 15 mei 2013
Delen van medische data
6
ZorgTTP Bedrijf & Kernwaarden
ZorgTTP - kern Waarom te vertrouwen? • Externe controle (periodieke audit) • Controle technische functiescheiding: – (AO/IC leer): Scheiding tussen bewarende, beschikkende, uitvoerende, registrerende en controlerende functies. – Vertaling naar TTP: door inzet van verschillende organisatorische en technische maatregelen creëren van zodanige scheiding tussen functies in een proces dat sprake is van een gecontroleerde situatie (tegengestelde belangen). • Praktisch: ZorgTTP bewaart of maakt alleen “sleutels”: Geen onderzoek, registratie of opslag! 15 mei 2013
Delen van medische data
8
ZorgTTP - kern • Moet een TTP altijd extern zijn? – Nee. Functiescheiding binnen een organisatie kan ook. Extern wel handig bij databronnen verspreid over meerdere organisaties; – Bovendien; standaard werkwijze maakt uitwisseling makkelijker; – En: kennis m.b.t. pseudonimisatie niet verspreid;
• Andere functies dan sleutelmaker mogelijk? – Ja. Zolang er niet te veel functies “in een hand” komen. 15 mei 2013
Delen van medische data
9
ZorgTTP - groei Cohort zoekvragen
Onomkeerbare pseudonimisatie 2009
2013
2007
Encryptiedienst
Kengetallen • > 4.000 databronnen: van huisarts, fysiotherapeut tot zorginstelling, zorgverzekeraar, etc.;
• > 100.000 verwerkingen per jaar; • > 3 miljard pseudoniemen per jaar; • Beschikbaarheid hoog (7 * 24).
15 mei 2013
Delen van medische data
11
ZorgTTP Dienstverlening
Pseudonimisatie Platform • Met name gericht op buitenste “schillen” zorginformatiedomein; geen grond om met persoonsgegevens te werken; • Procedure ontwikkeld in overleg met CBP; • Proces bestaande uit 3 stappen; Bron
15 mei 2013
ZorgTTP
Delen van medische data
Doel
13
CBP eisen pseudonimisatie 1. Er wordt (vakkundig) gebruikgemaakt van pseudonimisering, waarbij de eerste encryptie plaatsvindt bij de aanbieder van de gegevens. 2. Er zijn technische en organisatorische maatregelen genomen om herleidbaarheid van de versleuteling (‘replay back’) te voorkomen. 3. De verwerkte gegevens zijn niet indirect identificerend. 4. In een onafhankelijk deskundig oordeel (audit) wordt voor aanvang van de verwerking en daarna periodiek vastgesteld dat aan de voorwaarden 1, 2 en 3 is voldaan. 5. De pseudonimiseringsoplossing dient op heldere en volledige wijze te zijn beschreven in een openbaar document, zodat iedere betrokkene kan nagaan welke garanties de gekozen oplossing biedt. 15 mei 2013
Delen van medische data
14
Pseudonimisatie Platform Resultaat: – Na verwerking is niet langer sprake van persoonsgegevens. Patiënten zijn onafhankelijk van tijd en plaats te volgen; – Geen data opslag bij ZorgTTP, enkel opslag van wachtwoorden en meta-informatie m.b.t. domeinen (functie - en rol scheiding).
Maar: – De gegevens blijven gevoelig en dienen als zodanig te worden behandeld (indirecte herleidbaarheid); 15 mei 2013
Delen van medische data
15
TM Tres
Gijs van den Broek
SURFacademy 15 mei 2013
TresTM Centrale Opslag
Persoonsgegevens + Medische data
Onderzoeker/ behandelaar
Cardiologie UMCU 15 mei 2013
Cardiologie UMCN Delen van medische data
Cardiologie LUMC 17
TresTM • Wens – Terug kunnen naar de originele waarde -> omkeerbare encryptie;
• Een oplossing – TresTM Trusted Reversible Encryption Service
15 mei 2013
Delen van medische data
18
TresTM • Ontwikkeld in samenwerking met de sectie ADM (LUMC); • Interne ontwikkelingen en toepassing sinds 2010; • Publieke toepassing per versie 2.0; • Generiek ontwikkeld en koppelbaar.
15 mei 2013
Delen van medische data
19
TresTM Centrale Opslag Persoonsgegevens + Medische data
TresTM
Onderzoeker/ behandelaar
Cardiologie UMC
15 mei 2013
Delen van medische data
20
TresTM - Encryptie Sleutel: GUID Versleutelde waarde(n): y1, y2,… yn
TresTM
Login middels TresTM-account
Onderzoeker/ behandelaar
15 mei 2013
Sleutel: GUID Plain text waarde(n): x1, x2,… xn
Delen van medische data
21
TresTM • Encryptie en decryptie van individuele variabelen, zonder opslag van data; • Uitgebreide autorisatiestructuur; Combinatie reguleert de toegang tot data op fijnmazig niveau.
15 mei 2013
Delen van medische data
22
TresTM - Conclusie • In tegenstelling tot ons pseudonimisatieplatform kan de gebruiker met TRES terug naar de originele waarde; • Encryptie- en decryptiedienst met fijnmazige autorisatiemogelijkheden; • In ontwikkeling: koppelen van TresTM met het pseudonimisatieplatform – Zonder dat herleidbaarheid daarbij in het geding is. 15 mei 2013
Delen van medische data
23
DIT IS EEN GECONDENSEERDE PUBLIEKE VERSIE. VOOR VRAGEN VERZOEKEN WIJ U CONTACT OP TE NEMEN MET ZORGTTP.
Vragen? ZorgTTP www.zorgttp.nl
[email protected] Telefoon: 030-63 60 649 Servicedesk: 030-63 78 708 15 mei 2013
Delen van medische data
24