Transparantie versterkt ver trouwen
Inhoud Voorwoord Hoofdstuk 1 Hoofdstuk 2 Hoofdstuk 3 Hoofdstuk 4 Hoofdstuk 5 Hoofdstuk 6 Hoofdstuk 7 Hoofdstuk 8 Tot besluit Nawoord
Cees Verhage, directeur ZorgTTP 3 Optimaliseren & innoveren 5 Transparantie & efficiëntie 6 Werkterrein van ZorgTTP: onomkeerbare pseudonimisatie 9 Nieuwe dienstverlening: encryptie/decryptie (Tres®) 11 (Kern)activiteiten & partners 15 Opdrachtgevers & bronnen 16 Organisatie & medewerkers 21 Bestuurlijke organisatie 23 ZorgTTP in het kort 24 27
Alle instanties die werken met privacygevoelige gegevens moeten zich houden aan de regels, zoals vastgelegd in de Wet Bescherming Persoonsgegevens (WBP). ZorgTTP is gespecialiseerd in het pseudonimiseren van persoonsgegevens. Hierdoor kan privacygevoelige informatie worden uitgewisseld, zonder dat iemands privacy wordt geschonden.
Voorwoord ZorgTTP gaat vol vertrouwen de toekomst in
ZorgTTP heeft zich de afgelopen jaren ontwikkeld tot een organisatie die professionaliteit en expertise uitstraalt. Die ontwikkeling zie je terug in de verdere optimalisatie en innovatie van onze services. Zo heeft ZorgTTP een flinke stap vooruit gezet op het gebied van omkeerbare encryptie (versleuteling) om persoonsgegevens af te kunnen schermen voor niet geautoriseerde inzage (Tres®): één van onze speerpunten voor de toekomst. Daarnaast heeft ZorgTTP een aantal nieuwe opdrachtgevers mogen toevoegen aan de lijst met opdrachtgevers, zoals: Nederlands Instituut voor Onderzoek van de Gezondheidszorg (NIVEL), Dutch Hospital Data (DHD), Stichting Benchmark GGZ (SBG), Hans Mak Instituut (HMi), Zorgverzekeraar Menzis en13 Gemeenten in de Provincie Overijssel. 2011 was niet alleen een succesvol, maar ook een bewogen jaar. De problemen bij onze certificaatleverancier (DigiNotar) deden in september 2011 veel stof opwaaien en veroorzaakten in de markt de nodige onrust. Door alert te reageren heeft dit incident de vertrouwensrelatie tussen ZorgTTP en haar opdrachtgevers juist versterkt. Op het moment dat duidelijk werd dat er problemen waren, hebben we direct actie ondernomen. Onze opdrachtgevers werden uitgebreid geïnformeerd over de ontstane situatie en consequent op de hoogte gehouden van de ontwikkelingen. We hebben een externe audit laten uitvoeren om te kunnen bevestigen dat de vertrouwelijkheid en integriteit van de pseudonimisatieketens ongeschonden zijn gebleven.
3
De gebeurtenis was voor ons aanleiding om het gehele pseudonimisatieproces nogmaals grondig te analyseren en waar nodig aan te scherpen. Uiteindelijk leidt dat tot kwaliteitsverbetering en dat is waar het ZorgTTP om gaat. Onze opdrachtgevers waren van meet af aan zeer te spreken over onze transparante en slagvaardige handelswijze tijdens dit incident. Dat deed ons deugd. Transparantie is voor ZorgTTP altijd een belangrijk uitgangspunt geweest. Het is goed om te zien dat onze open en rechtdoorzee benadering ook nu haar nut heeft bewezen en het vertrouwen in ZorgTTP heeft versterkt. Onze verwachting is dat de roep om privacybescherming in de toekomst steeds nadrukkelijker zal klinken. Niet alleen in de zorg, maar binnen alle geledingen van de maatschappij. Enerzijds worden er steeds meer persoonsgegevens opgeslagen, anderzijds worden de technische mogelijkheden om deze data te kunnen ontsluiten steeds beter. Daarnaast is het voor beleidsmakers van essentieel belang om data, over de systemen heen, aan elkaar te kunnen koppelen en zo inzicht te krijgen in bepaalde patronen. Dat kan alleen als persoonsgegevens afdoende beschermd worden. ZorgTTP staat instellingen, medisch professionals, (branche) organisaties en bedrijven die een veilige datauitwisseling willen waarborgen graag terzijde. Nu en in de toekomst. Cees Verhage Directeur ZorgTTP
Hoofdstuk 1 Optimaliseren & innoveren
Het kwam al ter sprake in het voorwoord: de roep om adequate beveiliging van persoonsgegevens zal door de razendsnelle (technologische) ontwikkelingen in de maatschappij steeds nadrukkelijker te horen zijn. Voor ZorgTTP komt dit allesbehalve als een verrassing. Een van onze uitgangspunten is: nooit achterover leunen, voortdurend bezig zijn met het optimaliseren en innoveren van producten en services. Kwaliteit en klantgerichtheid zijn daarbij de belangrijkste kernwaarden. Op deze manier kunnen we blijven beantwoorden aan de meest actuele eisen en behoeften van een dynamische markt. Maatwerk en nieuwe services ZorgTTP is voortdurend op zoek naar (nieuwe) mogelijkheden om de dienstverlening zowel technisch als zakelijk nog beter af te stemmen op de specifieke behoeften van de opdrachtgever. We willen steeds meer toe naar maatwerk. Door onze dienstverlening zoveel mogelijk te standaardiseren kunnen we iedere klant een passende en betaalbare oplossing aanbieden. Daarnaast onderzoekt ZorgTTP de verwezenlijking van nieuwe services als aanvulling op de bestaande dienstverlening. In 2011 startte het Leids Universitair Medisch Centrum (LUMC) in samenwerking met ZorgTTP een pilot voor de beveiliging van onderzoeksdata met behulp van omkeerbare versleuteling onder de naam ‘Tres®’. Een belangrijke ontwikkeling voor de zorg, omdat met deze technologie op een veilige manier opslag en decryptie van data kan plaatsvinden, waarbij persoonsgegevens alleen met de juiste autorisatie beschikbaar kunnen worden 5
gemaakt. Op deze manier kunnen onderzoekers over meer (gecombineerde) data beschikken, waardoor een bijdrage wordt geleverd aan het optimaliseren van de patiëntenzorg. Totaalpakket ZorgTTP mag een groot aantal kerndatabanken van de gezondheidszorg, waaronder: DBC Informatiesysteem (DIS), RisicoVerevening (RVE), Landelijke Basisregistratie Ziekenhuizen (LBZ), Pathologisch Landelijk Geautomatiseerd Archief (PALGA), Nivel Registraties en Stichting Benchmark GGZ (SBG ROM), tot haar opdrachtgevers rekenen. ZorgTTP levert niet alleen de benodigde software oplossingen, maar een totaalpakket aan diensten en services op het gebied van privacybescherming van persoonsgegevens. Juist deze integrale services zijn onze meerwaarde en stellen ZorgTTP in staat om haar opdrachtgevers een hoogwaardige dienstverlening te bieden. Ook voor andere sectoren ZorgTTP richt zich op het beveiligen van privacygevoelige informatiestromen in de zorgsector en aanverwante sectoren. Wanneer men individuen in tijd wil kunnen volgen of meerdere informatiebronnen aan elkaar wil kunnen koppelen, kan pseudonimisatie ook voor andere sectoren van grote waarde zijn. Zo werkt ZorgTTP in toenemende mate voor bedrijven en organisaties op het gebied van onder meer: justitie, welzijn en onderwijs. Een positieve ontwikkeling. In navolging hiervan onderzoekt ZorgTTP in hoeverre haar dienstverlening en services ook toepasbaar zijn in andere onderdelen van de samenleving.
Hoofdstuk 2 Transparantie & efficiëntie
ZorgTTP is als ‘Trusted Third Party’ gespecialiseerd in de bescherming van persoonsgegevens. Het beschermen van deze privacygevoelige data vereist de grootst mogelijke zorgvuldigheid en een transparante werkwijze. Een opdrachtgever moet volledig op de door ons geboden services en oplossingen kunnen vertrouwen. Ongeacht de complexiteit van de opdracht of onverwachte ontwikkelingen in de markt. ZorgTTP staat zich voor op een nauw contact met de opdrachtgever en beschikt over de medewerkers, de expertise en de techniek om in alle gevallen een goede dienstverlening te kunnen garanderen.
Open en eerlijk Onze communicatie en uitgangspunten zijn helder en direct. Zowel tijdens het ontwikkelingsen implementatietraject als daarna. Deze werkwijze heeft zijn meerwaarde bewezen en het vertrouwen in ZorgTTP versterkt. Concreet hanteert ZorgTTP de volgende uitgangspunten:
• ZorgTTP bekijkt, voordat zij een opdracht
• • • ‘De samenwerking met ZorgTTP is prima. De lijnen zijn kort en we weten elkaar goed te vinden als het nodig is. Hun kracht is dat ze weten waar hun verantwoordelijkheid ligt en dat open en duidelijk communiceren.’ Eise Douma, manager DBC Informatie Systeem (DIS), DBC Onderhoud
6
aanneemt, altijd samen met de klant of de opdracht past binnen de door haar gehanteerde doelstellingen en uitgangspunten; Dataverzameling, -verwerking en -ontsluiting blijven strikt gescheiden; ZorgTTP hanteert op alle fronten, in alle situaties en in alle stadia van de samenwerking een open en transparante werkwijze; Periodiek worden alle processen, de software en de procedures aan onafhankelijke audits onderworpen. Een waarborg voor hoogwaardige, veilige dienstverlening.
Audits Volgens afspraken met VWS en conform de eisen van het CBP, wordt ZorgTTP periodiek aan een audit onderworpen. Deze audits worden uitgevoerd door een onafhankelijke derde partij. Het audit-raamwerk bestaat enerzijds uit de eisen van het CBP en anderzijds uit relevante onderdelen van de Code voor Informatiebeveiliging. Er wordt gekeken naar de pseudonimisatie software, de gehanteerde procedures, de ICT-infrastructuur, het verwerkingsproces en het beveiligingsbeleid. Deze audits zijn een garantie dat onze dienstverlening voortdurend wordt geëvalueerd en zo nodig bijgesteld waardoor de kwaliteit steeds verder zal toenemen. We staan zelf uiterst kritisch ten opzichte van onze dienstverlening. Daarom gaan wij regelmatig met onze opdrachtgevers in gesprek over desgewenst extra mogelijkheden om, naast de gebruikelijke audits, de kwaliteit van onze dienstverlening te laten toetsen en te bevestigen. In 2011 is met PwC overeenstemming bereikt over het uitvoeren van de volgende audit werkzaamheden: 1. Vastlegging van het audit raamwerk (eenmalig). 2. Een audit op ZorgTTP als beheersorganisatie (periodiek). 3. Technische conformiteit audit (jaarlijks). 4. Functionele conformiteit audit (jaarlijks). 5. Opstellen conformiteit verklaring (jaarlijks).
7
Doelmatig en efficiënt ZorgTTP heeft de strategie van kostenefficiënt werken stevig omarmd. Uiteraard met behoud van kwaliteit. In de afgelopen jaren is daartoe de zogeheten generieke PVM (Privacy en Verzend Module) in gebruik genomen. De generieke PVM bevat parametriseerbare software modules (en nog nieuw te ontwikkelen modules), die het mogelijk maken om sneller en tegen lagere ontwikkel- en implementatiekosten PVM’s te genereren. Uitgangspunt is en blijft dat het beveiligen van data voor de klant onmerkbaar moet verlopen. Alleen daarmee stellen we de klanten en onszelf tevreden. Omzetontwikkeling Het maken van winst of winstmaximalisatie is voor ZorgTTP geen doel. Winst is wel noodzakelijk om te kunnen investeren in technologie en innovatie én om de kwaliteit van de dienstverlening op hetzelfde hoge peil te houden. Hierdoor kunnen we onze opdrachtgevers en medewerkers zekerheid en continuïteit bieden. Nu en in de toekomst. ZorgTTP streeft in de komende jaren daarom naar een evenwichtige toename van haar omzetniveau om op een verantwoorde wijze invulling te kunnen geven aan haar ambities en doelstellingen.
Dr. Eric Hans Eddes, directeur DICA en chirurg Deventer Ziekenhuis
‘W i j w i l l e n g e e n z o r g e n h e b b e n over de privacybescherming van onze databestanden.’ ‘De reden dat we voor ZorgTTP hebben gekozen is dat de bescherming van privacy gevoelige informatie van onze geaggregeerde databestanden gewoon goed geregeld moet zijn. Daar willen we geen zorgen over hebben. Bij ZorgTTP is dat stuk in vertrouwde handen. Bovendien is ZorgTTP de belangrijkste speler op dit gebied, zodat datauitwisseling met andere organisaties in de zorg zoals PALGA en zorgverzekeraars een stuk eenvoudiger wordt. ZorgTTP is klantvriendelijk en denkt in de breedte met je mee. Ook als er een probleem is. Een mooi voorbeeld is de adequate afhandeling van de problemen met DigiNotar. We werden direct snel en goed geïnformeerd. ‘ZorgTTP is toch dé ‘pseudonimisator ’ van de belangrijkste organisaties in de zorg. Dat maakt het uitwisselen van databestanden een stuk makkelijker.’ Dr. Eric Hans Eddes, directeur DICA en chirurg Deventer Ziekenhuis
Dat is klasse. Ga zo door, zou ik dan ook zeggen. ‘ n
Hoofdstuk 3 Het werkterrein van ZorgTTP: onomkeerbare pseudonimisatie Ons hoofddoel is instellingen, organisaties en bedrijven de best mogelijke ondersteuning te bieden bij het veilig ontsluiten van hun privacygevoelige data. Het streven is de software-architectuur en dienstverlening in de toekomst nog verder te optimaliseren en af te stemmen op de snel wisselende behoeften van de markt. Daarvoor is het van belang dat we de ontwikkelingen nauwgezet volgen, zodat onze opdrachtgevers altijd verzekerd zijn van hoogwaardige oplossingen.
Optimaliseren pseudonimisatieketens Iedere pseudonimisatieketen bestaat uit drie op elkaar afgestemde componenten, te weten: 1. Privacy en Verzend Module (PVM), wordt gebruikt door de zorgverlenende instantie (de data bron). 2. Centrale Module ZorgTTP (CMT), wordt gebruikt door ZorgTTP. 3. Doel en Retour Module (DRM), wordt gebruikt door het doel (veelal de opdrachtgever). Daarnaast bestaat de mogelijkheid om domeinconversies voor gepseudonimiseerde databestanden van verschillende opdrachtgevers te laten uitvoeren Speerpunten zijn: • S chaalbaarheid productieomgeving (meerdere CMT’s); •O nderzoek naar noodzaak en wenselijkheid van de ontwikkeling cryptobox; •V erdere standaardisatie en ontwikkeling van nieuwe modules voor de PVM en DRM; • S tandaardiseren van de verschillende PVM’s zodat deze voor de opdrachtgevers nog beter te beheersen en te onderhouden zijn; • T estomgevingen standaardiseren en automatiseren. 9
Onomkeerbare pseudoniemen Met behulp van pseudonimisatiesoftware maakt ZorgTTP voor haar opdrachtgevers een veilige uitwisseling van privacygevoelige data mogelijk. ZorgTTP zet de persoonsgegevens om in een niet herleidbare code (onomkeerbaar pseudoniem). Vanaf het moment dat iemands persoonsgegevens zijn omgezet in deze code, kan diegene in tijd en plaats worden gevolgd zonder dat zijn privacy daarbij in het geding komt. Via de code kan namelijk op geen enkele wijze meer toegang worden verkregen tot de originele persoonsgegevens. Hierdoor kun je privacygevoelige informatie gebruiken, geheel in overeenstemming met de geldende wet- en regelgeving. ZorgTTP ontwikkelt de pseudonimisatiesoftware zo dat binnen de bestaande ICT-architectuur verschillende componenten aan elkaar gekoppeld kunnen worden en steeds meer maatwerk mogelijk is. Voortgang gewaarborgd Gedurende het gehele proces van ontwikkeling, implementatie en productie zorgt ZorgTTP ervoor dat kwaliteit en voortgang zijn gewaarborgd. Onze opdrachtgevers werken gewoon door, terwijl de experts van ZorgTTP achter de schermen hun werk doen.
Hoofdstuk 4 Nieuwe dienstverlening: encryptie en decryptie voor persoonsregistraties (Tres®) Advanced Data Management (ADM) van het LUMC (Leids Universitair Medisch Centrum) ontwikkelt momenteel in samenwerking met ZorgTTP een nieuwe dienstverlening: Tres® (Trusted Reversible Encryption Service). Er is een essentieel verschil tussen Tres® en de bestaande dienstverlening van ZorgTTP rondom pseudonimisatie. Bij de bestaande dienstverlening wordt gebruik gemaakt van pseudonimisatie (niet omkeerbare versleuteling) om individuen te kunnen volgen in de tijd en over verschillende databronnen heen te kunnen koppelen. Bij Tres® is sprake van omkeerbare encryptie (versleuteling) waarmee persoonsgegevens kunnen worden afgeschermd voor niet-geautoriseerde inzage. Het is mogelijk de diensten complementair aan elkaar in te zetten. Bij de bron zorgt Tres® voor bescherming van de gevoelige gegevens; bij koppeling met andere bronnen kan pseudonimisatie worden ingezet. Afhankelijk van het doel van de registratie is te bepalen welke dienst het beste past, eventueel in combinatie met elkaar.
Het LUMC en ZorgTTP LUMC ADM ontwikkelt Tres® samen met ZorgTTP. Het LUMC beschikt over een data management infrastructuur voor het realiseren van onderzoeksprojecten: ProMISe. ProMISe heeft zich in 25 jaar ontwikkeld tot een veel gebruikte applicatie voor wetenschappelijk onderzoek met eind 2011 ruim 150 onderzoeksprojecten.
Waarom Tres®? Tres® is bedoeld voor registraties waarbij er een wettelijke grond is voor het vastleggen van tot het individu te herleiden gegevens. Voorbeelden van dit soort gegevens zijn het BSN of de naam van een persoon in combinatie met andere identificerende gegevens. De grond voor het vastleggen van dit soort gegevens is bijvoorbeeld aanwezig bij de relatie tussen zorgverlener en patiënt (directe zorg) of bij de relatie tussen zorginstelling en verzekeraar (declaraties). Maar bijvoorbeeld ook bij (getoetst) medisch onderzoek dat onder de Wet Medisch-Wetenschappelijk Onderzoek met mensen (WMO) valt, waarbij de registratie voldoende beveiligd is. In die gevallen heeft de houder van de informatie het recht de gegevens vast te leggen en de plicht er zorgvuldig mee om te gaan. Tres® biedt een state of the art oplossing voor deze doelgroep door de persoonsidentificerende gegevens te encrypten. Als ondanks alle maatregelen nietgeautoriseerden zich toegang verschaffen tot de database, beschikken ze alleen over geanonimiseerde gegevens. Tres® valt daarmee in het spectrum van Privacy Enhanced Technology. Werking Tres® Bij Tres® wordt gebruik gemaakt van de laatste inzichten op het gebied van encryptie en beveili-
11
Dr. Jaap van Lakerveld, directeur Plato BV Universiteit Leiden:
‘D e k r a c h t v a n Z o r g T T P ? Meedenken, meedenken, me e d e n k e n , s n e lh e id e n h e ld e re c o mmu n ic a t ie . ’ ‘ZorgTTP was ons aangeraden toen we een Trusted Third Party zochten voor het anonimiseren van persoonsgegevens in het kader van de Leidse Onderwijsmonitor. Die keuze is goed bevallen. In het krachtenveld van opdrachtgevers, leveranciers en andere belanghebbenden werd onze samenwerking soms danig op de proef gesteld. Die proef heeft ZorgTTP met glans doorstaan. Snelheid en een heldere communicatie zijn voor ons heel belangrijk. In de afgelopen tijd is de wereld van de privacybescherming opgeschrikt door een paar stevige aardschokken. ZorgTTP heeft in die periode volledige ‘Vanuit een academische achtergrond heb ik vaak de behoefte om alles van meerdere kanten te bekijken en op veel zaken wat af te dingen. Maar er valt gewoon niets af te dingen op de dienstverlening van ZorgTTP.’ Dr. Jaap van Lakerveld, directeur Plato BV Universiteit Leiden
openheid van zaken gegeven en de klantenkring (ons in ieder geval) gerust weten te stellen over de maatregelen die waren genomen om de hoogst mogelijke bescherming van gegevens te kunnen garanderen. Als ik een tip zou mogen geven: houd vast aan deze persoonlijke service gerichte werkwijze!’ n
ging. De gebruiker logt vanuit het eigen informatiesysteem in bij Tres®. Bij het opslaan van informatie worden de overeengekomen variabelen - bijvoorbeeld achternaam, BSN of patiëntnummer - direct geëncrypteerd met behulp van Tres®. Alleen de versleutelde waarde wordt vervolgens opgeslagen in het informatiesysteem van de gebruiker. Hierdoor bevat het informatiesysteem geen identificerende gegevens meer. Decryptie van deze waarden gebeurt eveneens met Tres® en is alleen mogelijk voor gebruikers die daarvoor gemachtigd zijn. Toegangsrechten Het uitgeven van het recht om te kunnen decrypten vindt plaats via geprotocolleerde afspraken tussen de eigenaar van de registratie en ZorgTTP. Daarbij is het mogelijk om gebruikers toe te voegen aan groepen die het recht hebben elkaars gegevens in te mogen zien. In overleg met opdrachtgevers wordt vooraf vastgesteld welke groepen mogelijk zijn en voldoen aan de eisen die in deze situatie van toepassing zijn. Scheiding van verantwoordelijkheden Door encryptie en decryptie onder te brengen bij ZorgTTP wordt voorkomen dat anderen dan de geautoriseerde gebruikers bij de versleutelde informatie kunnen komen. Ook de opdrachtgever zelf kan er niet bij. Zo ontstaat er een scheiding van verantwoordelijkheden. ZorgTTP neemt de verantwoording voor het optimaal beveiligen van de persoonsgegevens over van de opdrachtgever. 13
Een zorgvuldige, transparante werkwijze, een snelle service en goede administratieve procedures zijn vereist
Onze dienstverlening maakt het verschil Uiteraard is de kwaliteit van de softwarearchitectuur van essentieel belang in dit verhaal. Daar besteedt ZorgTTP dan ook de grootst mogelijke aandacht aan onder meer door de kwaliteit te laten toetsen door externe auditors. Nog belangrijker is het pallet aan ondersteunende diensten die Tres® completeren. Zo moet de opdrachtgever er zeker van kunnen zijn dat alleen de gebruikers die daar recht op hebben, worden geautoriseerd. Dit vereist een zorgvuldige, transparante werkwijze, een snelle service en goede administratieve procedures. Juist aan deze expertise en kwaliteiten dankt ZorgTTP haar meerwaarde en onderscheidend vermogen.
Hoofdstuk 5 (Kern)activiteiten & partners
ZorgTTP houdt zich bezig met het optimaal beschermen van privacygevoelige informatiestromen in de zorgsector en aanverwante sectoren. Om dit kunnen realiseren heeft ZorgTTP een aantal diensten ontwikkeld die, afhankelijk van de vraagstelling en behoeften van de (potentiële) opdrachtgever, ingezet kunnen worden. Kernactiviteiten • Quick scan: vooronderzoek omgaan met identificerende persoonsgegevens en informatiebeveiliging; • Advies uitbrengen over beveiliging, unieke cliëntcodering en privacybescherming; • Sleutelontwikkeling, anonimisatie; • Pseudonimisatie, authenticatie/encryptie (Tres®); • Archief databestanden (VWS).
• LUMC/Advanced Data Management (ADM)
ZorgTTP werkt nauw samen met: • Chess IT Technology te Haarlem voor het ontwikkelen van JEE software voor pseudonimisatieketens; • InfoSupport te Veenendaal voor de ontwikkeling van .net software Tres®; • Quo Vadis en Vecozo voor de uitgifte van beveiligingscertificaten; • IVZ te Houten waar het gaat om Shared Service diensten op het gebied van financiën, administratie en technisch systeembeheer;
•
• •
• • •
•
•
15
te Leiden bij de ontwikkeling van Tres®, een applicatie voor de encryptie van (wetenschappelijke) medische (onderzoeks) databanken; Ram Infotechnology te Maarssen voor het leveren van hosting (hardware infrastructuur) faciliteiten; Omega Management Consultants te Kerkdriel voor het uitvoeren van marktscans en voor support in offerte trajecten; Condroz Consulting Groep te Amsterdam als het aanspreekpunt voor adviezen en counseling op het gebied van strategie en marketing; De Jong & Partners te Angerloo voor juridische adviezen op het gebied van ICT, privacy, etc. Meer.nu te Utrecht voor communicatie, concept en vormgeving; Quint Wellington Redwood (QWR) te Amstelveen voor het uitvoeren van een audit op de ICT-infrastructuur (state of the art voor ontwikkeling en productie); PwC te Amsterdam voor het uitvoeren van de ICT-infrastructuur audits in het kader van het College Bescherming Persoonsgegevens en de Wet Bescherming Persoonsgegevens (WBP); Delta π voor het uitvoeren van audits in het kader van de WBP.
Hoofdstuk 6 Opdrachtgevers & projecten
De onderstaande bedrijven, organisaties en instellingen hebben ZorgTTP opdracht gegeven voor onder meer: het uitvoeren van adviesopdrachten, quick scans, vooronderzoeken, het ontwikkelen en exploiteren van pseudonimisatie softwareketens.
ZorgTTP heeft een flink aantal pseudonimisatieketens ontwikkeld en met succes geoperationaliseerd.
Operationele pseudonimisatieketens, opdrachtgevers en projecten AGIS / ACHMEA, Amersfoort
• Fysiotherapie • Gezondheidscentra • Diabetes
DBC Onderhoud, Utrecht
•D BC Informatiesysteem (DIS)
Ministerie van Volksgezondheid, Welzijn en Sport (VWS), Den Haag
Dutch Institute for Clinical Auditing (DICA), Leiden
• Risicoverevening •A lgemene Wet Bijzondere Ziektekosten •
Landelijke databanken voor: • Dutch Surgical Colorectal Audit (DSCA) • Dutch Breast Cancer Audit (DBCA) • Dutch Lung Surgery Audit (DLSA) • Dutch Upper GI Cancer Audit (DUCA)
(AWBZ) W et Tegemoetkoming Chronisch zieken en Gehandicapten (WTCG) Ministerie van Defensie, Den Haag
Gemeente Leiden en Plato BV (Platform Opleiding Onderwijs en Organisatie), Leiden
• L andelijke Zorgregistratie Veteranen
• Leidse onderwijs Monitor
Centraal Bureau voor de Statistiek (CBS), Den Haag
GG&GD, Amsterdam
•G emeentelijke Basis Administratie (GBA)
• Diverse onderzoeken 16
Pathologisch Landelijk Geautomatiseerd Archief (PALGA), Utrecht
•
Nederlandse Gemeenten
• L eidse Onderwijs Monitor, Leiden •W MO Databanken voor 13 gemeenten
D atabank Pathologisch Landelijk Geautomatiseerd Archief (PALGA)
Provincie Overijsel
Perinatale Registratie Nederland (PRN), Utrecht
Nederlands Instituut voor Onderzoek Eerste Lijn (NIVEL), Utrecht
• L andelijke Databank Verloskunde en
Input voor registratiesystemen van de 1ste lijn •H uisartsen •A pothekers H • uisartsenposten •G ezondheidscentra F • ysiotherapeuten •D iëtisten O • efentherapeuten • 1 ste lijns psychologen •K eten Zorggroepen
Neonatalogie (LVR en LNR) Informatie Voorziening Zorg (IVZ), Houten
•D atabank Landelijk Alcohol & Drugs Informatiesysteem (LADIS) Dutch Hospital Data (DHD), Utrecht
• L andelijke Basisregistratie Ziekenhuiszorg •
(LBZ) L andelijke Medische Registratie (LMR)
Hans Mak Instituut (HMi), Naarden
Stichting Benchmark GGZ (SBG), Bilthoven
•O nderzoek chronisch nierfalen Regio Eindhoven Overige opdrachtgevers
•D atabank GGZ ROM (Result Outcome
•V ektis, Zeist •C IZ, Driebergen C • AK, Den Haag
Measurement) College voor zorgverzekeringen (Cvz), Diemen
Authenticatie in ontwikkeling (Tres®), Leiden
• L andelijke Databank Genees- en
• L eids Universitair Medisch Centrum
Hulpmiddelen (GIP)
Menzis, Enschede
Expertisecentrum Forensische Psychiatrie (EFP), Utrecht
•K ennis Databank Forensische Psychiatrie (TBS)
•W MO databank •O nderzoek 1ste lijns zorg in samenwerking met Tranzo Tilburg
17
Barry Egberts, senior manager Kenniscentrum Zorg en Gezondheid, Achmea:
‘Z o r g T T P i s e e n f i j n e p a r t i j o m mee te werken. Ze staan voor k wa lit e it . Da t mo e t e n z e k o e s teren, want ze hebben een goede naam hoog te houden.’ ‘Wij zijn voordurend bezig om de zorginkoop met behoud van kwaliteit te optimaliseren. Hiervoor is het noodzakelijk om data zoals medische uitkomsten, kenmerken van de populatie en zorgkosten aan elkaar te kunnen koppelen. Uiteraard moet dat privacyproof gebeuren. We zijn een paar jaar geleden op zoek gegaan naar een betrouwbare partij om ons daarbij te helpen en kwamen al snel uit bij ZorgTTP. Zij zijn expert in het pseudonimiseren van zorgdata en genieten een uitstekende reputatie. Voordeel van een -onafhankelijkepartij als ZorgTTP is, dat dit het vertrouwen bij de zorgverleners versterkt, wat de voortgang van het traject, zoals het ter beschikking ‘ZorgTTP is een expert in het pseudonimiseren van zorgdata en genieten een uitstekende reputatie.’ Barry Egberts, senior manager Kenniscentrum Zorg en Gezondheid, Achmea
stellen van gegevens, ten goede komt. Onze samenwerking vereiste van beide partijen de nodige flexibiliteit. Het prettige van ZorgTTP is dat je direct en open met ze kunt communiceren. Gedurende het traject loop je tegen verschillende zaken aan. We hebben daar steeds goed met elkaar over kunnen praten. ZorgTTP is bereid om in haar klanten te investeren. Dat waardeer ik.’ n
ZorgTTP voorziet diverse onderzoeksinstituten in opdracht van haar klanten van de benodigde data: •A DV Market Research, Den Dolder •E corys, Rotterdam I • nstituut Beleid & management Gezondheidszorg (iBMG), Rotterdam • P latform Opleiding, Onderwijs en Organisatie (Plato BV), Leiden •K IWA Prismant, Utrecht •U niversiteiten w.o. VU Amsterdam, AMC Amsterdam, UMC Utrecht •M iletus, Zeist S • iRM (Strategies in Regulated Markets), Rotterdam • T ranzo Tilburg Duizenden databronnen verspreid over heel Nederland ZorgTTP heeft inmiddels een belangrijke bijdrage geleverd aan de realisatie van een groot aantal projecten op het gebied van gegevensuitwisseling. De aangesloten bronnen, die over persoonsgegevens beschikken en die via een operationele pseudonimisatieketen data leveren, variëren van twaalf tot vele duizenden per pseudonimisatieketen.
19
Bronnen: •A pothekers •H uisartsen H • uisartsenposten •G ezondheidscentra F • ysiotherapeuten •D iëtisten O • efentherapeuten • 1 ste lijns Psychologen • Z orggroepen •A lgemene en Universitaire ziekenhuizen M • edisch Specialisten (chirurgie, pathologie, psychiatrie, gynaecologie, verloskundigen, neonatologie, kinderchirurgie, traumachirurgie) • P .A. Laboratoria •G GZ Instellingen, w.o. Kinder- en Jeugd Psychiatrie • Instellingen voor de Verslavingszorg • Instellingen voor TBS • Z orgverzekeraars • S cholen (Peuter- Basis-, Voortgezet Onderwijs) • B elastingdienst •U WV C • entrale Indicatiestelling Zorg (CIZ) •C entraal Administratie Kantoor AWBZ (CAK) C • entraal Bureau voor de Statistiek (CBS) •G emeenten
Hoofdstuk 7 Organisatie & medewerkers
Wij hechten bij ZorgTTP veel waarde aan vakkennis en sociale vaardigheden en aan de wil om proactief aan de slag te gaan. Ons team bestaat uit enthousiaste en hoog gekwalificeerde specialisten met een hands-on mentaliteit. Ervaren medewerkers die het ondersteunen en inrichten van nieuwe ketens en het uitvoeren van soms lastige en complexe domeinconversies met veel energie ter hand nemen en uitvoeren. Deze mensen vormen de ruggengraat van ZorgTTP. Ons team is samengesteld uit gespecialiseerde medewerkers op het gebied van: • S ervicedesk en productiebegeleiding; • S oftware-architectuur; • T est- en implementatiewerkzaamheden; •G ezondheidswetenschappen; B • eveiliging; •E ncryptie. Kennisverbreding Innovatie en ontwikkeling op het gebied van pseudonimisatie en authenticatie zijn onontbeerlijk voor het leveren van topkwaliteit en voor een gezonde groei van de activiteiten. Bij ZorgTTP wordt daarom graag geïnvesteerd in het ontwikkelen van talent en in het uitbouwen van de expertise. In dat kader investeren we bijvoorbeeld in de interne procesbeheersing door onze medewerkers opleidingen en cursussen op het gebied van IT-auditing, marketing, informatica, etc. te laten volgen.
21
Extern netwerk Primair ondersteunende activiteiten, zoals acquisitie, productontwikkeling, servicedesk, de regievoering over het productieproces en over de softwareontwikkeling zijn in handen van ZorgTTP zelf. Het Shared Service Center IVZ ondersteunt ZorgTTP bij onder meer de financiële administratie, algemene en personele zaken, technisch systeembeheer en bij het beheer van de kantoorautomatisering. Voor specifieke werkzaamheden zoals ontwikkelen van software, uitvoeren van audits, juridisch advies, strategie-ontwikkeling, hosting, marktanalyse en communicatie vertrouwt ZorgTTP op de expertise van een breed netwerk aan specialisten.
Hoofdstuk 8 Bestuurlijke organisatie
De organisatiestructuur van ZorgTTP is gebaseerd op het Raad van Toezicht model. Dit houdt in dat het Bestuur in de zin van de wet berust bij de Raad van Bestuur (Directie). Deze is verantwoordelijk voor de ontwikkeling en uitvoering van het beleid en zorgt ervoor dat het beleid getoetst wordt door de Raad van Toezicht. De Raad van Bestuur fungeert tevens als externe vertegenwoordiger van de organisatie. Raad van Bestuur De Raad van Bestuur wordt gevormd door de heer Cees G. Verhage. De Raad van Toezicht benoemt de Raad van Bestuur. In de vergadering van december 2011 heeft de Raad van Toezicht Cees Verhage opnieuw benoemd als Raad van Bestuur (directeur). De directeur ontvangt voor het uitoefenen van zijn functie een door de Raad van Toezicht vastgestelde vergoeding.
Leden Raad van Toezicht Gelijktijdig met de statutenwijziging op 1 januari 2007 en het ontstaan van ZorgTTP als zelfstandige organisatie, zijn de leden van de Raad van Toezicht benoemd. De Raad bestaat uit (situatie vanaf 9 mei 2012): • P rof. dr. Arie Hasman, voorzitter •M r. Dirk de Jong, portefeuille algemene zaken en informatiebeveiliging •D rs. Jan Weber, portefeuille financiën
Raad van Toezicht De Raad van Toezicht heeft essentiële organisatorische bevoegdheden, zoals benoeming, schorsing en ontslag van toezichthouders en bestuurders en het goedkeuren van belangrijke bestuursbesluiten. De Raad van Toezicht is verder bevoegd tot het vaststellen van de begroting, het opstellen van het financieel jaarverslag, statutenwijzigingen en de ontbinding van de organisatie.
De leden van de Raad van Toezicht ontvangen een vergoeding op basis van een vacatiegeldregeling voor door hen verrichte werkzaamheden.
23
Adviseur Gezien zijn achtergrond, kennis en bijdrage aan de ontwikkeling, oprichting en verzelfstandiging van ZorgTTP, is besloten de heer Ton Ouwehand te benoemen als adviseur voor de Raad van Toezicht en de Directie van ZorgTTP.
Tot besluit: ZorgTTP in het kort
Wie is ZorgTTP ZorgTTP ondersteunt organisaties in de rol van ‘Trusted Third Party’ bij het veilig ontsluiten en uitwisselbaar maken van databestanden met privacygevoelige informatie. Door ZorgTTP in te zetten, ontstaat er een functiescheiding in gegevensuitwisseling. In combinatie met de door ZorgTTP gehanteerde technieken vormt dit een waarborg voor de bescherming van privacygevoelige data, conform de privacywetgeving. Geschiedenis ZorgTTP is als Stichting Infoservices opgericht als onderdeel van IVZ in Houten. Op 1 januari 2007 heeft een statutaire wijziging plaatsgevonden en is ZorgTTP als Stichting volledig zelfstandig geworden. ZorgTTP staat onder leiding van de Raad van Bestuur (directie: Cees G. Verhage) welke wordt gecontroleerd door de Raad van Toezicht. Kernactiviteiten dienstverlening ZorgTTP 1. Pseudonimiseren 2. Tres® (Trusted Reversible Encryption Service)
ZorgTTP is een betrouwbare partner voor de bescherming van gevoelige persoonsgegevens
Over pseudonimisatie Bij pseudonimisatie worden alle gegevens die identificatie van personen mogelijk maken, vervangen door unieke pseudoniemen die niet te herleiden zijn tot een persoon. Met behulp van deze pseudoniemen kunnen verschillende partijen informatie uitwisselen, zonder dat de privacy in het geding komt. Pseudonimisatie is het werkterrein van ZorgTTP. De omzetting van gevoelige persoonsgegevens naar een onomkeerbaar pseudoniem verloopt in twee fasen. De partij die in het bezit is van de te verzenden persoonsgegevens (de bron) zet de gegevens conform de eisen van het CBP met behulp van pseudonimisatiesoftware om naar een
24
zogenaamd ‘pre-pseudoniem’. Vervolgens zet ZorgTTP het pre-pseudoniem om in een definitief pseudoniem. Dit definitieve pseudoniem, en de bijbehorende data, worden beschikbaar gesteld aan de ontvangende partij. Alleen ZorgTTP weet op welke wijze het definitieve pseudoniem is aangemaakt. Voor zowel de bron als de ontvanger is het onmogelijk de oorspronkelijke persoonsgegevens te achterhalen. Hierdoor is het mogelijk informatie uit te wisselen zonder dat de privacy wordt geschaad. Over Tres® (encryptie/decryptie) Advanced Data Management (ADM) van het LUMC (Leids Universitair Medisch Centrum) ontwikkelt in samenwerking met ZorgTTP Tres® (Trusted Reversible Encryption Service). Bij Tres® is sprake van omkeerbare encryptie (versleuteling) waarmee persoonsgegevens kunnen worden afgeschermd voor niet geautoriseerde inzage. Tres® is bedoeld voor registraties waarbij er een wettelijke grond is voor het vastleggen van tot het individu te herleiden gegevens. Voorbeelden van dit soort gegevens zijn het BSN of de naam van een persoon in combinatie met andere identificerende gegevens. De gebruiker logt vanuit het eigen informatiesysteem in bij Tres®. Bij het opslaan van informatie worden de overeengekomen variabelen direct geëncrypteerd met behulp van Tres®. Alleen de versleutelde waarde wordt vervolgens opgeslagen in het informatiesysteem van de 25
gebruiker. Decryptie van deze waarden is alleen mogelijk voor gebruikers die daarvoor gemachtigd zijn. Door encryptie en decryptie onder te brengen bij ZorgTTP wordt voorkomen dat anderen dan de geautoriseerde gebruikers bij de versleutelde informatie kunnen komen. Het is mogelijk de diensten complementair aan elkaar in te zetten. Voor wie ZorgTTP richt zich in eerste instantie op de zorgsector. Maar ook voor andere sectoren zoals Welzijn, Onderwijs, Justitie, Verkeer en Waterstaat is ZorgTTP een betrouwbare partner voor het geanonimiseerd uitwisselbaar maken van gevoelige persoonsgegevens.
Mw. Dr.ir. Hannelore Hofhuis,
‘Veel organisaties claimen tegenwoordig transparant
Bestuurssecretaris Stichting PALGA:
en betrouwbaar te zijn. Helaas zijn het vaak loze kreten waar onvoldoende invulling aan wordt gegeven.
‘ T ransparantie en vertr o u w e n zijn woorden die soms te makkelijk in de mon d worden genomen. Zorg TTP h e e ft aangeto o n d d a t h a a r d ienstve rle n in g d e ze woord e n wa a rd is . ’
In de recente DigiNotar affaire heeft ZorgTTP laten zien dat ze door ons helder, snel en compleet te informeren beide begrippen heel serieus neemt. Hiermee is het vertrouwen bestendigd dat de pseudonimisatiediensten bij ZorgTTP in goede handen zijn. De samenwerking met ZorgTTP is van begin af aan prettig geweest. De inpassing van de pseudonimisatie-diensten in de PALGA-keten heeft van de verschillende betrokken partijen veel denkwerk en afstemming gevraagd. ZorgTTP was altijd bereid om door te blijven zoeken tot er voor alle partijen aanvaardbare oplossingen waren. Deze constructieve houding is ook een meerwaarde voor de toekomst. PALGA en andere partijen zullen naar verwachting voor grote uitdagingen komen te staan op het gebied van het koppelen van gegevens uit verschillende databanken, waarvan niet alle gegevens door ZorgTTP zijn gepseudonimiseerd. ZorgTTP zal zijn kracht kunnen bewijzen als blijkt dat dergelijke koppelingen toch mogelijk zijn. En dat tegen beheersbare kosten.
‘ZorgTTP was altijd bereid om door te blijven zoeken tot er voor alle partijen aanvaardbare oplossingen waren. Deze constructieve houding is ook een meerwaarde voor de toekomst.’ Mw. Dr.ir. Hannelore Hofhuis, Bestuurssecretaris Stichting PALGA
Hierdoor kunnen gezondheidszorgdata verbreed en verdiept worden. Privacy is in Nederland een zeer groot issue. Partijen die privacygevoelige gegevens beheren zoals PALGA hebben een groot belang bij een juiste beeldvorming over de wijze waarop zij de privacy beschermen. Mogelijk kan ZorgTTP een bijdrage leveren aan juiste beeldvorming door materiaal beschikbaar te stellen (zowel voor leken als ingewijden) waarin de werking van de privacybescherming wordt uitgelegd.’ n
Nawoord ZorgTTP heeft in deze brochure een zo goed mogelijk beeld gegeven van de meest recente activiteiten, ontwikkelingen en verwachtingen met betrekking tot onze organisatie. Samengevat heeft ZorgTTP voor de toekomst één doel voor ogen en dat is haar klanten op het gebied van bescherming van persoonsgegevens de best mogelijke dienstverlening bieden. Dat doen we door trouw te blijven aan onze kernwaarden: transparantie, innovatie, en efficiëntie en door de klant centraal te stellen. Hierdoor heeft ZorgTTP zich kunnen ontwikkelen tot een Trusted Third Party met een hoogwaardige en klantgerichte dienstverlening. Een uitgangspositie die we samen met onze opdrachtgevers en partners graag verder uit willen bouwen.
De inhoud van deze brochure is met zorg samengesteld. Niettemin kunnen hieraan geen rechten worden ontleend. Niets uit deze uitgave mag worden overgenomen en/of gepubliceerd zonder schriftelijke toestemming van ZorgTTP. Voorjaar 2012
27
Bezoekadres: Randhoeve 225 3995 GA Houten Postadres: Postbus 529 3990 GH Houten Telefoon: 030-636 0649
[email protected] Servicedesk: 030-637 8708
[email protected] www.zorgttp.nl
Pseudonimisering maakt uitwisseling van gevoelige gegevens mogelijk zonder inbreuk op de privacy.