Hoe wij helpen?

Advies

Stichting ZorgTTP is sinds jaar en dag betrokken bij het opzetten van ketens waarover informatie over individuen wordt uitgewisseld. De kerntaak van ZorgTTP is de privacy van individuen in deze ketens te beschermen. De dienstverlening van ZorgTTP in deze trajecten beperkt zich niet alleen tot de inzet van technische maatregelen zoals pseudonimisatie of encryptie, maar richt zich ook op een adviserende rol in de keten. ZorgTTP adviseert bij de afweging welke informatie wordt verzameld en welke gegevens daarbij dienen te worden bewerkt.

De rol van zowel technische als adviserende partner wordt al sinds 2007 door ZorgTTP vervult. Nu per mei 2018 de Algemene Verordening Gegevensbescherming (AVG) ingaat, dienen veel organisaties hun dienstverlening en werkwijze onder de loep te nemen. De AVG vereist immers dat organisaties bij het verwerken van persoonsgegevens Privacy by Design inzetten. Al in een vroeg stadium van hun ontwikkeling van producten en diensten is het wenselijk voor organisaties om privacy verhogende maatregelen te treffen. Dit kan in de vorm van Privacy Enhancing Technologies (PET), zoals pseudonimisatie. Goede toepassing van pseudonimisatie maakt het mogelijk om de kans op ongeautoriseerde toegang tot de onderliggende persoonsgegevens sterk te reduceren en kan daarom gezien worden als een voorbeeld van Privacy by Design. Net zo goed betreft het inzet van organisatorische maatregelen of governance modellen. Hierbij kan worden gedacht aan het uitvoeren van een Privacy Impact Assessment (PIA) om vast te leggen met welk doel welke gegevens worden verzameld. Of het inzetten van dataminimalisatie: alleen die (persoons)gegevens verzamelen die men daadwerkelijk nodig heeft om taken en werkzaamheden uit te voeren. ZorgTTP treedt vanuit haar technische en adviserende expertise graag met u in overleg welke privacy verhogende maatregelen u het beste kunt treffen bij het verzamelen van (persoons)gegevens. Daarbij staat meedenken in het verstandig gebruik en verwerken van de persoonsgegevens voorop.

Pseudonimisatie

Voor gegevensverzameling waarbij identiteit van personen geen rol speelt maar onderscheid tussen individuen wel, biedt ZorgTTP pseudonimisatie aan.

De technische invulling door ZorgTTP is bijzonder: er worden geen gegevens over personen bij ZorgTTP opgeslagen. Pseudoniemen worden op basis van cryptografische algoritmes toegekend. Hiervoor zijn geen tabellen of databases bij ZorgTTP nodig. ZorgTTP is de sleutelbewaarder die keer op keer aan een individu zijn pseudoniem toekent zodat onderzoek mogelijk wordt waarbij data van verschillende bronsystemen of van verschillende momenten in de tijd kunnen worden gelinkt zonder daarbij de identiteit van personen te kennen.

Deze Privacy Enhancing Technology wordt al sinds 2007 succesvol toegepast, onder meer bij de NZa en het Zorginstituut.

TRES

TRES staat voor Trusted Reversible Encryption Service en is in samenwerking met het LUMC in Leiden ontwikkeld. TRES is een encryptiedienst die het mogelijk maakt om data-elementen naar keuze, zoals bijvoorbeeld een Burgerservice nummer (BSN) te encrypteren en te decrypteren. Hierbij is het mogelijk om de originele waarde terug te krijgen, mits de aanvrager daartoe gerechtigd is binnen TRES.

TRES is daarmee een voorbeeld van een Privacy Enhancing Technology (PET) en beveiligingsmaatregel binnen database omgevingen.

Track record

Grote landelijke informatiesystemen zoals de Risicoverevening en DBC-informatiesysteem maken naar volle tevredenheid gebruik van de pseudonimisatie dienstverlening van ZorgTTP voor onomkeerbare versleuteling van persoonsgegevens.

Parelsnoer, een initiatief van de 8 Academische ziekenhuizen, maakt gebruik van de TRES dienstverlening van ZorgTTP voor omkeerbare versleuteling.