Implementatie AVG bij MRDM

Paul Crauwels, directeur van MRDM, vertelt in zijn presentatie over de rol van MRDM in het verwerken van data en gaat in op vragen die zijn gesteld over de afhankelijkheid en onafhankelijkheid van MRDM nu MRDM onderdeel is geworden van de LOGEX Group. Paul benadrukt dat ‘MRDM alleen de verwerkingsverantwoordelijke zorginstelling beschouwt als de opdrachtgever en dat er zonder instructies van de zorginstelling niets wordt uitgevoerd.

Paul Crauwels (MRDM)

Commissie van wijzen

MRDM werkt met LOGEX en Value2Health samen, maar werkt volgens Paul ‘zoveel mogelijk zelfstandig. MRDM voert ook een eigen personeelsbeleid.’ Hij stelt verder dat MRDM meer geïsoleerd zou moeten worden. ‘Hierbij kun je denken aan een commissie van wijze mannen en vrouwen die ons controleren. DICA kent bijvoorbeeld haar eigen privacycommissie. Die kant wil MRDM ook op.’

MRDM is als verwerker van patiënt- en persoonsgegevens verplicht om een functionaris gegevensbescherming te hebben. ‘Gelukkig hebben we deze aangesteld in de persoon van Marie-José Bonthuis, die dit voor ons gaat monitoren. Per 1 mei is ze gestart in deze functie bij MRDM’, vertelt Paul.

Dataproces

Hoe verloopt het dataproces binnen MRDM? In zijn presentatie vertelt Paul aan de hand van visuele beelden hoe de datastromen lopen binnen MRDM. ‘Het proces start bij het ziekenhuis. Er zijn bedrijven die informatieproducten aanbieden aan de ziekenhuizen. Hier heeft het ziekenhuis eerst zelf contact mee. Uit deze contacten vloeien afspraken voort, bijvoorbeeld door deelnameovereenkomsten.

Vervolgens is er data nodig om dit te vullen. Hier komt MRDM in beeld. Voor de verwerking van data wordt er een verwerkersovereenkomst met MRDM afgesloten. De volgende stap is dat de data wordt verwerkt. Dit hele proces verzorgt MRDM. Uiteindelijk levert MRDM geanonimiseerde data door naar partijen als DICA.

Instructie

De zorginstelling geeft een instructie aan ons, zodat er daadwerkelijk bewerkingen uitgevoerd worden op de data. ‘Wij werken altijd via een instructie, zonder een instructie doet MRDM niets.’, vertelt Paul.

Maar hoe zit dit nu precies tussen het ziekenhuis, MRDM en DICA? Paul neemt als voorbeeld dat er een idee ontstaat dat er een kwaliteitsregistratie voor diabetes moet komen. ‘De wetenschappelijke vereniging doet een voorstel hoe een kwaliteitsmeting op te starten. Deze vereniging weet niet hoe ze een dergelijk systeem moet inrichtingen. Vervolgens wordt DICA benadert om een data-processing-instructie te maken. DICA regelt de gouvernance om de datastroom te regelen. Dit gebeurt via het Clinical Audit Board. DICA heeft hierin een adviserende rol.

Het ziekenhuis kan akkoord gaan met het voorstel of ze hier wel of niet aan willen deelnemen. Door akkoord te gaan met deelname conformeren zij zich dat ze akkoord gaan dat de data op een bepaalde manier verwerkt wordt. Er is altijd een akkoordverklaring van het ziekenhuis zelf nodig. In deze akkoordverklaring kan bijvoorbeeld staan dat de data wel gebruikt wordt voor het verwerken van data, maar dat de data niet gebruikt mag worden voor wetenschappelijk onderzoek. Het ziekenhuis is ‘in control’ over wat er met de data gebeurt.

Als dit allemaal akkoord is komt MRDM in beeld dat de route op deze manier gaat lopen. MRDM krijgt de data die in het beheersproces van MRDM komt. Vervolgens kan op basis van instructies gestart worden en komen de uiteindelijke resultaten in het MijnDICA-portal. Het portal is van DICA, maar DICA kan niet in dit portal, omdat hier persoonsgegevens in staan.

MRDM stelt de data geanonimiseerd aan DICA beschikbaar. In de data die beschikbaar komt voor DICA zitten volgens MRDM geen persoonsgegevens. Zo is er voor DICA ook geen rol als verwerkingsverantwoordelijke of verwerker. Op basis hiervan worden er ook analyses gedaan voor het DICA-jaarrapport. Deze data is niet te herleiden naar persoonsgegevens’, zo besluit Paul zijn betoog.

Verwerkersovereenkomst

In de verwerkersovereenkomst die recent is toegestuurd naar ziekenhuizen hanteert MRDM het BOZ-model-verwerkersovereenkomst. ‘Deze overeenkomst is overlegd met de Nederlandse Vereniging voor Zorgverzekeraars (NVZ). De NVZ heeft hier kritisch naar gekeken en uiteindelijk een positief advies over gegeven. Het doel van MRDM is dat elk ziekenhuis op 25 mei 2018, bij het ingaan van de verordening, dat het ziekenhuis een overeenkomst is die juist is en past bij de actuele situatie’, vertelt Paul.