DPIA staat voor Data Privacy Impact Assessment en is een raamwerk van vragen aan de hand waarvan mogelijke privacy-risico’s in kaart worden gebracht. Op 31 maart jl. organiseerde het landelijk programmabureau samen met regionaal partnerschap IGD Rijnmond een kennistafel DPIA.
Afke de Vries, Functionaris Gegevensbescherming bij het Ikazia Ziekenhuis, heeft de geïnteresseerden meegenomen in de totstandkoming van de eerste DPIA en de aanpak voor de komende tijd. Een ‘eerste DPIA’, een DPIA is namelijk niet statisch. Bij relevante ontwikkelingen wordt de DPIA steeds weer bijgesteld. De mogelijkheden om als regio’s samen hierin op te trekken zijn op verkennend niveau besproken. Afke werd in de sessie bijgestaan door haar werkgroep-collega’s: Sandra van Hattem-Bout (kraamzorgorganisatie RST Zorgverleners) en Zeeger Beukenhorst (laboratorium en echocentrum Star-shl).
Werkgroep Privacy en Security
In het partnerschap IGD Rijnmond is door de Werkgroep Privacy en Security, in overleg met leverancier HINQ, een DPIA uitgevoerd. De Werkgroep Privacy en Security is ontstaan uit een bestaande regionale samenwerking die zich vaker heeft gebogen over contracteringsvraagstukken in ziekenhuizen, onder meer bij de uitrol van Zorgplatform. Voor VIPP Babyconnect is deze bestaande groep uitgebreid met vertegenwoordiging vanuit de eerste lijn (verloskundigen, kraamzorg, echo en Centrum Jeugd en Gezin). Naast onderwerpen als een BIV-classificatie (betrouwbaarheid, integriteit en veiligheid) en de contractenset, boog deze groep zich dus over het opstellen van een DPIA.
DPIA
DPIA staat voor Data Privacy Impact Assessment en deze wordt doorgaans bij een keuze voor een nieuw product of dienst uitgevoerd. Een DPIA is een onderdeel van de contractering van HINQ als regionaal platform. Afke de Vries legt uit: “Je kunt een DPIA omschrijven als een raamwerk van vragen waarin geprobeerd wordt het hele proces van gegevensverwerking te beschrijven.” Voorbeelden van deze vragen zijn: om welke gegevens gaat het? Wie heeft er toegang tot die gegevens? Met welk doel worden de gegevens gedeeld?
Aan de hand van dit soort vragen worden de mogelijke privacy risico’s in beeld gebracht. Daarnaast worden de maatregelen om die risico’s te verkleinen beschreven. De DPIA brengt dus risico’s op het gebied van privacy in beeld en stelt maatregelen vast waarmee de risico’s kunnen worden teruggebracht tot een acceptabel niveau. Een voorbeeld van een onderwerp dat werd besproken in deze kennistafel is het maken van ‘een index voor lokalisatie’. Met behulp van lokalisatie weet je bij welke zorgaanbieders er gegevens van de betreffende cliënt beschikbaar zijn. Maar een dergelijke index brengt natuurlijk ook de nodige aandachtspunten en privacyvraagstukken met zich mee.
Tip: in deze opleggers wordt meer uitleg gegeven over een DPIA:
- Vanuit partnerschap Amsterdam-Amstelland-Almere: Oplegger DPIA eerste lijn
- Vanuit partnerschap Rijnmond: Informatiepakket voor de gehele contractenset