MODEL SAMENWERKINGSOVEREENKOMST ONPLANBARE NACHTZORG
MODEL
SAMENWERKINGSOVEREENKOMST ONPLANBARE NACHTZORG
DE ONDERGETEKENDE:
[Naam organisatie}, gevestigd te [postcode en plaats] aan de [straat], te dezen rechtsgeldig vertegenwoordigd door [functie en naam vertegenwoordigingsbevoegde persoon] hierna te noemen: "Zorgaanbieder 1” (vervangen door naam organisatie)”;
en
[Naam organisatie}, gevestigd te [postcode en plaats] aan de [straat], te dezen rechtsgeldig vertegenwoordigd door [functie en naam vertegenwoordigingsbevoegde persoon] hierna te noemen: " Zorgaanbieder 2” (vervangen door naam organisatie)”;
[Naam organisatie}, gevestigd te [postcode en plaats] aan de [straat], te dezen rechtsgeldig vertegenwoordigd door [functie en naam vertegenwoordigingsbevoegde persoon] hierna te noemen: " Zorgaanbieder 3” (vervangen door naam organisatie)”;
[Naam organisatie}, gevestigd te [postcode en plaats] aan de [straat], te dezen rechtsgeldig vertegenwoordigd door [functie en naam vertegenwoordigingsbevoegde persoon] hierna te noemen: " Zorgaanbieder 2” (vervangen door naam organisatie)”;
Etc.
Partijen worden hierna tezamen ook genoemd: “Zorgaanbieders” en individueel “Zorgaanbieder”;
NEMEN HET VOLGENDE IN AANMERKING:
Zorgaanbieders zijn aanbieders van verpleging- en verzorgingsdiensten aan cliënten woonachtig in de regio/omgeving [invullen naam wijk];
Zorgaanbieders hebben kennis genomen van Het Gezamenlijk kader toekomstbestendige wijkverpleging waarin kaders en voorwaarden om onplanbare nachtzorg in te richten worden beschreven;
In navolging van van Het Gezamenlijk kader toekomstbestendige wijkverpleging, Zorgaanbieders wensen te komen tot een goede onderlinge samenwerking met betrekking tot het in behandeling nemen van ongeplande zorgvragen van cliënten danwel zorgvragers tijdens de nacht;
[Hier kunt u nog meer doelen van de samenwerking benoemen].
Zorgaanbieders onderkennen dat het in het kader van deze samenwerking noodzakelijk is dat de betrokken zorgaanbieders toegang krijgen tot relevante (persoons)gegevens van de cliënt en dat er een elektronische uitwisseling van cliëntgegevens plaats vindt;
Zorgaanbieders zijn in overleg getreden en hebben overeenstemming bereikt over de samenwerking en het uitwisselen van cliëntgegevens en willen hun onderlinge rechten en verplichtingen en afspraken als volgt vastleggen.
[Let op: In deze overeenkomst wordt van het volgende uitgegaan:
Er is sprake van een elektronische uitwisseling van de cliëntgegevens. Mocht de uitwisseling niet elektronisch plaats vinden, dan moet dat worden aangepast.
De aanbieder van de onplanbare nachtzorg levert (i) een bereikbaarheidsfunctie en (ii) de verpleegkundige zorg]
ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1 Definities
In deze Overeenkomst hebben de volgende definities de volgende betekenissen, zowel in enkelvoud als in meervoud
Aanbieder van de Nachtzorg: [invullen welke zorgaanbieder(s) de Nachtzorg gaat(n) uitvoeren]
AVG Algemene Verordening Gegevensbescherming, (EU) 2016/679;
Bijlage een bijlage bij deze Overeenkomst die integraal onderdeel uitmaakt van de Overeenkomst
Cliënt: een cliënt van één van de Zorgaanbieders, woonachtig in de Wijk;
Informatiemateriaal: [beschrijving invullen: bijvoorbeeld de folder of ander informatiemateriaal waarmee Cliënten worden geinformeerd over de samenwerking op het gebied van de onplanbare Nachtzorg, In Bijlage 3 moet in in ieder geval worden beschreven welke informatie ten minste in het materiaal moet zijn opgenomen]
Nacht: de perode tussen [invullen tijden van de nacht (bijvoorbeeld 23.00 – 7.00]
Nachtzorg: de dienstverlening bestaande uit de bereikbaarheidsfunctie en de levering van verpleegkundige zorg, nader beschreven in Bijlage 1;
Overeenkomst deze samenwerkingsovereenkomst, inclusief de Bijlagen;
Cliëntgegevens de gegevens van de Cliënt waaronder ook diens persoonsgegevens en gezondheidsgegevens
UAVG Uitvoeringswet AVG
Verwerkingsverantwoordelijke de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG
Regio/ Wijk: [invullen omschrijving van omgeving waarvoor de samenwerking geldt]
Artikel 2 Levering van de Nachtzorg
2.1 In het kader van de samenwerking op het gebied van de onplanbare Nachtzorg komen Zorgaanbieders overeen dat de Aanbieders van de Nachtzorg zorgdragen voor de inrichting en uitvoering van de Nachtzorg,
2.2 De Aanbieders van de Nachtzorg zullen de Nachtzorg leveren in overeenstemming met de beschrijving opgenomen in Bijlage 1. De Aanbieders van de Nachtzorg staan ervoor in dat de Nachtzorg iedere Nacht, ook tijdens vakanties en feestdagen, wordt geleverd.
2.3 De Aanbieder van de Nachtzorg neemt bij haar werkzaamheden de zorg van een goed zorgverlener in acht en handelt daarbij in overeenstemming met de op haar rustende verantwoordelijkheid zoals deze mede voortvloeit uit de voor haar geldende professionele standaard en de richtlijnen van de beroepsgroep.
2.4 Indien er meerdere Aanbieders van de Nachtzorg zijn dan kan het volgende artikel worden toegevoegd:
[De Aanbieders van de Nachtzorg maken steeds tijdig een planning van de levering van de Nachtzorg, zodat voor alle Zorgaanbieders duidelijk is welke aanbieder op welke dagen of in welke periode de Nachtzorg levert. Deze planning wordt steeds tijdig (uiterlijk twee weken voor het ingaan van de periode waarop de planning betrekking heeft) verstrekt aan alle Zorgaanbieders bij deze Overeenkomst.]
Artikel 3 Overeenkomst tussen Cliënt en Aanbieder Nachtzorg
3.1 Indien een Cliënt gedurende de Nacht contact opneemt met de dienstdoende Aanbieder van de Nachtzorg en gebruik wenst te maken van de Nachtzorg, komt er een zorgovereenkomst tussen de Cliënt en de Aanbieder van de Nachtzorg tot stand. De Aanbieder van de Nachtzorg is volledig verantwoordelijk en aansprakelijk voor de levering van de Nachtzorg en de nakoming van de verplichtingen uit de zorgovereenkomst met de Cliënt.
3.2 De in artikel 3.1 genoemde zorgovereenkomst is beperkt tot de Nachtzorg. Indien de Cliënt al bij één van de andere Zorgaanbieders verpleegkundige zorg afneemt, draagt de Aanbieder van de Nachtzorg zorg voor een zorgvuldige en efficiënte overdracht van de Cliënt, diens zorgvraag en de noodzakelijke Cliëntgegevens aan de andere Zorgaanbieder.
Artikel 4 Elektronische uitwisseling en raadpleging Cliëntgegevens
Let op: Dit artikel is gebaseerd op de situatie dat de zorgaanbieders werken met een elektronisch uitwisselingsysteem.
4.1 Zorgaanbieders onderkennen dat voor een goede levering van de Nachtzorg, raadpleging van de noodzakelijk Cliëntgegevens van de betreffende Cliënt essentieel is en dat er mogelijk een uitwisseling van Cliëntgegevens met de Aanbieder van de Nachtzorg dient plaats te vinden.
4.2 De uitwisseling van Cliëntgegevens in het kader van de Overeenkomst vindt plaats op de wijze zoals beschreven in Bijlage 2. Zorgaanbieders dragen er zorg voor dat de inrichting en systemen van de cliëntendossiers geschikt zijn voor de in Bijlage 2 omschreven uitwisseling van de Clientgegevens.
4.3 De uitwisseling van Cliëntgegevens vindt uitsluitend plaats indien en voor zover in het cliëntendossier de uitdrukkelijk toestemming van de Cliënt, als bedoeld in artikel 5.2 van deze overeenkomst, is geregistreerd. Indien de toestemming van de Cliënt ontbreekt kan er geen (elektronische) uitwisseling van Cliëntgegevens plaats vinden.
4.4 Indien in het cliëntendossier de uitdrukkelijk toestemming van de Cliënt ontbreek en de Cliënt ook niet in staat is om deze uitdrukkelijke toestemming alsnog aan de reguliere Zorgaanbieder bij wie hij in zorg is en aan de Aanbieder van de Nachtzorg te verstrekken (bijvoorbeeld omdat de Cliënt, niet bij kennis is) kan de Aanbieder van de Nachtzorg, de reguliere Zorgaanbieder bij wie de Cliënt in zorg verzoeken om de noodzakelijk Cliëntgegevens op de in Bijlage 2 omschreven wijze met haar te delen. Deze verstrekking is niet toegestaan indien de Cliënt eerder bezwaar heeft gemaakt tegen dergelijke verstrekking.
4.5 De Aanbieder van de Nachtzorg garandeert dat zij uitsluitend Cliëntgegevens opgeslagen in het cliëntendossier van een andere Zorgaanbieder raadpleegt, indien er een zorgovereenkomst tussen haar en de betreffende Client tot stand is gekomen. De Aanbieder van de Nachtzorg raadpleegt en verwerkt uitsluitend die Cliëntgegevens die toereikend en noodzakelijk zijn voor de uitvoering van de Nachtzorg. De Aanbieder van de Nachtzorg mag de geraadpleegde en verkregen Cliëntgegevens uitsluitend gebruiken voor de uitvoering van de Nachtzorg. Ieder ander gebruik van deze Cliëntgegevens is uitdrukkelijk niet toegestaan. De Aanbieder van de Nachtzorg legt aan de personen die in het kader van de Nachtzorg de Cliëntgegevens raadplegen een geheimhoudingsplicht op.
4.6 De Aanbieder van de Nachtzorg bewaart de geraadpleegde Cliëntgegevens niet langer dan noodzakelijk voor het doel van de verwerking, het uitvoeren van de Nachtzorg. Voor zover Cliëntgegevens deel uitmaken van een cliëntendossier in de zin van de WGBO mogen deze niet langer worden bewaard dan de toepasselijke wettelijke bewaartermijn of zoveel langer als noodzakelijk is voor een goede zorgverlening aan de cliënt.
Artikel 5 Informeren en toestemming cliënten
5.1 Zorgaanbieders dragen er zorg voor dat zij hun Cliënten binnen een maand [kan/mag ook een andere periode zijn] na ondertekening van de zorgovereenkomst informeren over de samenwerking op het gebied de onplanbare Nachtzorg en de mogelijke elekronsiche uitwisseling van hun Clientgegevens met de Aanbieders van de Nachtzorg. Zorgaanbieders zullen daartoe gebruik maken van het Informatiemateriaal. Het Informatiemateriaal bevat in ieder geval de in Bijlage 3 opgenomen informatie en maakt duidelijk dat de Cliënten uitdrukkelijk toestemming dienen te geven voor de elektronische uitwisseling en dat de mogelijkheid bestaat om bezwaar te maken. Zorgaanbieders dragen er zorg voor dat de informatie begrijpelijk en in duidelijke en eenvoudige taal is opgesteld.
5.2 Zorgaanbieders zullen na de verstrekking van de in artikel 4.1 bedoelde informatie hun Clënten uitdrukkelijk toestemming vragen voor de electronische uitwisseling van de noodzakelijke clientgegevens met de Aanbieders van de Nachtzorg, indien en voorzover de Cliënt in de toekomst gebruik mocht maken van de Nachtzorg. Deze toestemming dient aantoonbaar te zijn en te voldoen aan de overige voorwaarden neergelegd in artikel 7 AVG. Zorgaanbieders dienen de toestemming (samen met het tijdstip vanaf welk de toestemming van kracht is geworden) in het elektronsich clientendossier te registreren.
Artikel 6 Verwerking Clientgegevens en beveiligingsmaatregelen
6.1 Zorgaanbieders zullen de Clientgegevens van hun Cliënten aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hen als Verwerkingsverantwoordelijke rustende verplichtingen op grond van de AVG, de UAVG en overige relevante wet- en regelgeving, waaronder mede doch niet uitsluitend de Wet aanvullende bepalingen verwerking persoonsgegevens in de Zorg, Wet geneeskundige behandelingsovereenkomst en de Gedragscode Elektronische gegevensuitwisseling in de Zorg.
6.2 Zorgaanbieders zullen passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens, ter bescherming van de Clientgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking. De Zorgaanbieders leggen aan de personen die zijn belast met het beheer van de cliëntendossiers een geheimhoudingsplicht op. Deze beveiligingsmaatregelen omvatten in ieder geval de in Bijlage 4 opgenomen maatregelen. De Zorgaanbieders zien toe op de naleving van deze maatregelen
6.3 Zorgaanbieders werken aantoonbaar in overeenstemming met ISO27001 en/of NEN 7510 en hebben een passend beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in artikel 6.2 genoemde maatregelen zijn opgenomen. Zorgaanbieders voldoen aan de eisen zoals beschreven in NEN7512 en NEN7513 en in andere NEN-normen, voor zover die van toepassing zijn verklaard.
Artikel 7 Samenwerking mbt wettelijke verplichtingen
7.1 Zorgaanbieders zullen steeds op verzoek alleinformatie die nodig is voor de nakoming van de relevante verplichtingen uit de AVG, de uitvoeringswet AVG en andere relevante wet- en regelgeving aan elkaar ter beschikking stellen.
7.2 Indien een Cliënt bij een Zorgaanbieder een verzoek indient voor (elektronische) inzage en kopie, rectificatie en wissing van diens gegevens alsmede voor de beperking van de verwerking en overdraagbaarheid of indien de Cliënt anderszins bij een Zorgaanbieder een verzoek indient met betrekking tot de rechten opgenomen in Hoofdstuk III van de AVG of in andere relevante wet- of regelgeving, onderzoekt deze Zorgaanbieder of zij in het kader van de uitwisseling van Clientgegevens onder deze Overeenkomst, ook andere Zorgaanbieders van dit verzoek op de hoogte dient te stellen. Indien dat het geval is, zal zij zo spoedig mogelijk de andere Zorgaanbieder over het verzoek van de Cliënt informeren zodat deze kan voldoen aan diens verplichtingen uit de AVG en/of andere wet- en regelgeving.
7.3 Zorgaanbieders zullen elkaar waar mogelijk informeren over eventuele verzoeken van de Autoriteit Persoonsgegevens of van andere bevoegde instanties, welke toezien op de uitwisseling van de Cliëntgegevens en/of op de samenwerking bedoeld in deze Overeenkomst, tenzij deze informatieverstrekking niet is toegestaan en/of daarmee bedrijfsvertrouwelijke of bedrijf kritische informatie gedeeld zou worden.
Artikel 8 Aansprakelijkheid
8.1 Zorgaanbieders zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
8.2 Xxxx Xxxxxxxxxxxxx die bij de verwerking van de Cliëntgegevens van een Cliënt is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door diens verwerking die inbreuk maakt op deze Overeenkomst, de AVG of de Uitvoeringswet AVG, overeenkomstig artikel 82 AVG.
8.3 Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
Artikel 9. Vergoeding, facturering en betaling
Geef in dit artikel aan welke afspraken er zijn gemaakt over de vergoeding van de levering van de onplanbare nachtzorg. Bijvoorbeeld: 9.1 Voor de inrichting en levering van de Nachtzorg, zijn de andere Zorgaanbieders de in Bijlage 1 overeengekomen vergoeding verschuldigd.
9.2 De Aanbieder van de Nachtzorg zal de andere Zorgaanbieders [maandelijks/elk kwartaal/jaarlijks] een (digitale) factuur toesturen. De factuur zal voldoen aan de wettelijke vereisten.
9.3 De Zorgaanbieders voldoen de factuur binnen dertig (30) dagen na ontvangst van de factuur.
Artikel 10. Duur en beëindiging
10.1 De Overeenkomst treedt in werking op de datum van ondertekening door alle Zorgaanbieders en wordt aangegaan voor periode van [invullen periode]. Het is de intentie van de Zorgaanbieders om deze Overeenkomst na afloop van de periode en na een evaluatie te verlengen met periodes van [periode in vullen]. Indien de Overeenkomst aan het eind van de lopende periode niet schriftelijk door Partijen is verlengd, eindigt deze automatisch van rechtswege aan het eind van de dan lopende periode.
10.2 Partijen zijn gerechtigd om de Overeenkomst met onmiddellijke ingang, zonder rechterlijke tussenkomst en zonder in verband daarmee tot schadevergoeding gehouden te zijn (geheel of gedeeltelijk (bijvoorbeeld met betrekking tot één Zorgaanbieder) te ontbinden, indien een Zorgaanbieder:
(i) tekort is geschoten in de nakoming van enige verplichting uit deze Overeenkomst en, voor zover nakoming niet blijvend onmogelijk is, deze Partij na in gebreke te zijn gesteld de verplichting niet alsnog binnen een redelijke termijn nakomt;
(ii) op grond van wet- of regelgeving, een rechterlijke uitspraak of een besluit van de autoriteit persoonsgegevens, niet meer in staat is of gerechtigd is de Cliëntgegevens overeenkomstig hetgeen in de Overeenkomst te (laten) verwerken.
(iii) (voorlopige) surseance van betaling aanvraagt, wordt verleend, jegens haar een verzoek tot faillissement is ingediend, in staat van faillissement is verklaard, dan wel anderszins de vrije beschikking over zijn of haar vermogen verloren heeft;
(iv) om welke reden dan ook, een beroep doet op overmacht gedurende een periode van een maand of langer, en vanwege deze overmacht niet in staat is de opdracht naar behoren uit te voeren;
zonder dat hierdoor schadevergoeding aan de andere Zorgaanbieders verschuldigd is.
Artikel 11. Algemene bepalingen
11.1 Op deze Overeenkomst is uitsluitend het Nederlandse recht van toepassing.
11.2 Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage. Geschillen die naar aanleiding van deze Overeenkomst mochten ontstaan, zullen worden voorgelegd aan de bevoegde Nederlandse rechter.
11.2 Met deze Overeenkomst vervallen alle eventueel eerdere mondeling en schriftelijke gemaakte afspraken terzake van de samenwerking op het gebied van de onplanbare Nachtzorg.
Aldus overeengekomen en in [aantal]voud ondertekend te …………op …….. datum
______________________ ______________________
Zorgaanbieder 1 Zorgaanbieder 2
Naam Naam:
Functie: Functie:
Datum: Datum:
______________________ ______________________
Zorgaanbieder 3 Zorgaanbieder 4
Naam Naam:
Functie: Functie:
Datum: Datum:
BIJLAGE 1 BESCHRIJVING VAN DE NACHTZORG
Beschrijving van de wijze waarop de onplanbare nachtzorg in uw regio is vormgegeven
Bereikbaarheidsfunctie
Beschrijving van openingstijden en functioneren van de telefonische bereikbaarheid.
Telefoonnummer
Service Levels: bijvoorbeeld binnen hoeveel tijd de telefoon wordt opgenomen of wordt teruggebeld.
Het niveau van de persoon die de telefoon opneemt
Nachtzorg
Beschrijving van de verpleegkundige zorg die in de nacht wordt geleverd.
Niveau van de zorgprofessionals
Overdracht naar de reguliere Zorgaanbieder
Beschrijven op welke wijze de overdracht van de Nachtzorg naar de reguliere Zorgaanbieder plaats vindt
BIJLAGE 2 BESCRHIJVING UITWISSELING CLIËNTGEGEVENS
Stappenplan Onplanbare Nachtzorg
Toevoegen: Stappenplan Onplanbare Nachtzorg
Elektronische Uitwisseling Cliëntgegevens
Beschrijven:
Met welke Elektronisch Uitwisselingsysteem wordt gewerkt;
Tot welke delen van het cliëntendossier de Aanbieder van de Nachtzorg toegang kan krijgen.
Op welke plek de toestemming van de Cliënt in het cliëntendossier wordt geregistreerd
Hoe de overdracht van de Nachtzorg naar de regulier zorg in het Cliëntendossier wordt geregeld.
Geen toestemming Cliënt
Beschrijven wat er gebeurt als een Cliënt geen toestemming heeft gegeven.
Hoe kan de regluiere Zorgaanbieder in dat geval door de Aanbieder van de Nachtzorg worden bereikt.
BIJLAGE 3 TE VERSTREKKEN INFORMATIE
In AVG, de Wabvpz en gedragscode EgiZ is vastgelegd welke informatie verstrekt moet worden. Het betreft bijvoorbeeld informatie over de reguliere zorgaanbieder wijkverpleging, de toegang van de zorgaanbieder van de onplanbare nachtzorg (bereikbaarheidsfunctie en de zorgprofessional die onplanbare nachtzorg verleent), het soort gegevens waartoe toegang wordt gegeven, de rechtsgronden en doeleinden van de verwerking en de rechten van de cliënt.
Een Zorgaanbieder verstrekt in ieder geval de volgende informatie aan de Cliënten:
- beschrijving van de samenwerking tussen de Zorgaanbieders m.b.t. onplanbare Nachtzorg
- de identiteit en contactgegevens van de Zorgaanbieder en van de Aanbieder(s) van de onplanbare Nachtzorg, en indien van toepassing, de contactgegevens van de functionaris voor de gegevensbescherming;
- de werking van het elektronisch uitwisselingssysteem en de doeleinden van de verwerking van Cliëntgegevens die via het elektronisch uitwisselingssysteem plaatsvindt;
- de rechtsgrond voor de gegevensverwerking;
- de reden van de verstrekking van persoonsgegevens, of de patiënt verplicht is persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn bij het achterwege blijven daarvan;
- de (categorieën van) persoonsgegevens die voor de onplanbare Nachtzorg kunnen worden uitgewisseld/ geraadpleegd;
- de namen van de Xxxxxxxxx(s) van de Nachtzorg, die de Cliëntgegevens kunnen raadplegen;
- het feit dat Client uitdrukkelijk toestemming dient te verlenen voor de elektronische uitwisseling en de raadpleging van de Cliëntgegevens door de Aanbieder van de Nachtzorg en dat deze toestemming kan worden ingetrokken danwel bezwaar kan worden gemaakt;
- het recht van de Cliënt op inzage, rectificatie, beperking en verwijderen van gegevens, recht van bezwaar en recht op overdraagbaarheid van gegevens;
- het recht van de Cliënt om de toestemming te allen tijde in te trekken;
- het recht van de Cliënt om een klacht in te dienen bij de Autoriteit Persoonsgegevens;
- informatie over het autorisatiebeleid voor de uitwisseling/toegang
- informatie over het feit dat als de Cliënt geen toestemming heeft gegeven, de Zorgaanbieder Cliëntgegevens over hem kan verstrekken aan de Aanbieder van de Nachtzorg, bijvoorbeeld per beveiligde mail. Deze verstrekking kan plaats vinden indien de Cliënt gebruik wil maken van de Nachtzorg van de Aanbieder van de Nachtzorg en voor deze Nachtzorg de raadpleging van diens Cliëntgegevens noodzakelijk is. Indien de Cliënt geen toestemming heeft gegeven voor de elektronische uitwisseling met de Aanbieder van de Nachtzorg, kan de Zorgaanbieder de benodigde Clientgegevens op eigen initiatief per beveiligde mail verstrekken. De cliënt kan hier tegen bezwaar maken. Dat kan bijvoorbeeld door [invullen hoe de Cliënt bezwaar kan maken].
De informatie kan op verschillende manieren worden verstrekt, bijvoorbeeld via een (bijlage bij een)
Toestemmingsformulier of via de webpagina van de Zorgaanbieder.
Het gaat hier uitdrukkelijk alleen om de informatie die wordt verstrekt in het kader van de uitwisseling van de Cliëntgegevens. Vanzelfsprekend dienen de zorgaanbieders op grond van de AVG aanvullende informatie te verstrekken voor verwerking van de persoonsgegevens binnen hun organisatie in het algemeen.
BIJLAGE 4 BEVEILIGINGSMAATREGELEN
Voorbeeld maatregelen (afkomstig uit de Gedragscode EgiZ)
Graag aanvullen
Autorisatiebeleid
Partijen moeten een autorisatiebeleid vaststellen voor toegang tot de Cliëntgegevens via het uitwisselingssysteem.
Het beleid is erop gericht de verwerking van Cliëntgegevens te beperken tot hetgeen noodzakelijk is in het kader van zorgverlening aan de Cliënt.
Het autorisatiebeleid omvat ten minste:
- richtlijnen met betrekking tot het verlenen van toegang tot Cliëntgegevens via het elektronisch uitwisselingssysteem, waaronder richtlijnen met betrekking tot mandatering van de Zorgaanbieders en de Aanbieder van de Nachtzorg (met een zorgovereenkomst met de Cliënt);
- autorisatieprotocollen waarin de reguliere toegang tot de Clientgegevens wordt gebonden aan de rol van de Zorgaanbieder.
Vastlegging en toetsing Zorgovereenkomst
Zorgaanbieders dragen zorg voor het treffen van technische voorzieningen waarmee de Zorgovereenkomst tussen de Aanbieder van de nachtzorg en de Cliënt kan worden vastgesteld. Dat kan bijvoorbeeld door middel van:
a) voorafgaande afleiding van de Behandelrelatie aan de hand van feitelijke omstandigheden;
b) voorafgaande toetsing aan de hand van een registratie van de zorgovereenkomst door de Aanbieder van de Nachtzorg persoonlijk met behulp van een digitale handtekening, of;
c) voorafgaande toetsing aan de hand van een registratie van de zorgovereenkomst door de Cliënt met behulp van een digitale handtekening.
Voorafgaande afleiding of toetsing kan plaatsvinden in combinatie met een melding achteraf. Bijvoorbeeld door een notificatie aan de Cliënt, bijvoorbeeld via e-mail of SMS, en/of een verslag van de Aanbieder van de Nachtzorg aan de andere Zorgaanbieder bij wie de Cliënt in zorg is.
Beveiligingsmaatregelen (Gedragscode EgiZ)
NEN-normen
Zorgaanbieders dragen overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem dat zij gebruiken in het kader van de samenwerking uit deze Overeenkomst.
Een Zorgaanbieder draagt overeenkomstig het bepaalde in NEN 7510 en NEN 7512, zorg voor een veilig en zorgvuldig gebruik van het elektronisch uitwisselingssysteem.
Zorgaanbieders werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria.
Zorgaanbieders waarborgen dat de leverancier van het elektronisch uitwisselingssysteem voldoet aan de volgende voorwaarden:
a. een van de leverancier onafhankelijke organisatie heeft na onderzoek vastgesteld dat de leverancier en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de leverancier opgesteld audit-rapport;
b. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan.
Terminologie
Bij het vastleggen van beleid, procedures en verantwoordelijkheden als bedoeld in NEN 7510, NEN 7512 of NEN 7513 in documenten, gebruiken Zorgaanbieder de termen en definities als genoemd in NEN 7510, NEN 7512 of NEN 7513.
Verantwoording
De Zorgaanbieders leggen aan de leverancier van het elektronische uitwisselingssysteem op dat deze zich steeds vergewist van de laatste stand van de wetenschap en techniek met betrekking tot informatiebeveiliging en de bescherming van persoonsgegevens, en dat deze zich verantwoord over de toepassing daarvan bij de inrichting en het gebruik van haar systemen.
Identificatie en Authenticatie
Zorgaanbieder zorgen voor technische middelen van voldoende niveau voor het vaststellen en verifiëren van de identiteit van Xxxxxxxxxxxxxx (en hun medewerkers) en de Cliënten
Voor identificatie en authenticatie van Zorgaanbieders en medewerkers wordt gebruik gemaakt van passende middelen, zoals de UZI-pas of middelen met een vergelijkbaar beveiligingsniveau.
Bij het elektronisch uitwisselen tussen Zorgaanbieders van Clientgegevens wordt gebruik gemaakt van het BSN.
In verband met de uitoefening van de voorafgaande toetsing van zorgovereenkomst door de Cliënt, zoals bedoeld in paragraaf 2 sub c, dient authenticatie van Cliënt met tenminste 2-factor authenticatie, zoals DigiD + sms-functie te worden gebruikt, zolang er nog geen algemeen beschikbare 2-factor authenticatie beschikbaar is voor patiënten/cliënten.
Logging
De Zorgaanbieders dragen er zorg voor dat de logging van het uitwisselingssysteem voldoet aan het bepaalde in NEN 7513.
De Zorgaanbieders bewaren de gegevens in de logging gedurende een termijn van tenminste vijf jaar vanaf het moment van het schrijven van de logregel.
De Zorgaanbieders houden voorzieningen in stand waarmee de zijzelf of de Cliënt de logging kan inzien.
De Zorgaanbieders stellen een beleid vast met betrekking tot:
- de toegang tot de gegevens in de logging;
- het uitvoeren van een periodieke controle van de logging op onbevoegde raadplegingen;
- het uitvoeren van specifieke controles op raadplegingen die hebben plaatsgevonden in noodsituaties, en
- de te volgen procedure bij vermeend of geconstateerd misbruik en/of datalek.