Privacyverklaring

Dit is de privacyverklaring van Stichting Dutch Institute for Clinical Auditing (DICA), statutair gevestigd en kantoorhoudende in (2333 AA) Leiden aan de Rijnsburgerweg 10. DICA Is verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens. In deze privacyverklaring lees je hoe wij jouw persoonsgegevens verwerken in overeenstemming met de Algemene verordening gegevensbescherming (AVG).

DICA is een onafhankelijke instituut dat zich richt op het inzichtelijk maken van kwaliteit van de zorg met betrouwbare vergelijkingen en analyses. Zorginstellingen of klinieken leveren gegevens aan over de uitkomsten van behandelingen voor de kwaliteitsregistraties. DICA voorziet vervolgens artsen, patiënten, zorgbestuurders en zorgverzekeraars van actuele spiegelinformatie over de kwaliteit van zorg en de instrumenten om te leren en te verbeteren. Kwaliteitsregistraties zijn essentieel voor een goede evaluatie van de zorg in Nederland en daarmee een onmisbare schakel in het continue proces van het verbeteren van de zorgverlening in Nederland, het tegengaan van onnodige registratielasten voor zorgaanbieders en het beheersbaar houden van kosten voor de zorg.

Doeleinden en grondslagen van verwerking

Patiënten en behandelaars

Kwaliteitsregistraties
Zorginstellingen of klinieken kunnen gegevens leveren over de uitkomsten van behandelingen voor de kwaliteitsregistraties. Dit zijn vooral gegevens van patiënten maar ook gegevens van het medisch personeel dat de behandelingen uitvoert. Om kwaliteitsregistraties op een veilige en rechtmatige wijze mogelijk te maken, worden verschillende stappen gezet die hieronder zijn beschreven. Er is een wet in de maak waarmee ziekenhuizen verplicht worden gepseudonimiseerde persoonsgegevens te verstrekken aan erkende kwaliteitsregistraties, de Wet kwaliteitsregistraties zorg (Wkz). De Europese wetgever heeft in de overwegingen bij de AVG het belang van kwaliteitscontrole onderstreept (zie overweging 52, 53 en 54) en de basis gelegd voor de nieuwe wet. Wanneer die wet effectief is, zal het proces zoals hieronder omschreven er wat anders uitzien.

1.Pseudonimiseren door of namens ziekenhuis
De eerste stap in het kwaliteitsregistratieproces is dat zorginstellingen gegevens over de uitkomsten van behandelingen bij hun patiënten pseudonimiseren of aanleveren aan de verwerker van het ziekenhuis om deze gegevens te pseudonimiseren. Pseudonimiseren is een beveiligingsmaatregel en zorgt ervoor dat de gegevens voor een derde, die de sleutel niet heeft, in principe niet te herleiden zijn tot een mens. Het verschil tussen pseudonimiseren en anonimiseren is dat gepseudonimseerde gegevens met een sleutel nog herleid kunnen worden tot een bepaald individu en geanonimiseerde gegevens niet. Voor kwaliteitsregistraties is het van belang om gebruik te maken van gepseudonimiseerde gegevens omdat bepaalde verwerkingen zorgaanbieder-overstijgend zijn en juist de patiënt moet kunnen worden gevolgd. Ook moet het mogelijk zijn om terug te koppelen met de betreffende zorgverlener, bijvoorbeeld om de oorspronkelijke gegevens te controleren. Welke persoonsgegevens precies door de zorginstelling worden aangeleverd aan de verwerker, verschilt per kwaliteitsregistratie. In ieder geval bevatten de gegevens ook zogenaamde bijzondere persoonsgegevens in de zin van de AVG. Het gaat namelijk over medische behandelingen bij patiënten.

Deze verwerking valt onder de verantwoordelijkheid van het ziekenhuis. Wanneer je vragen hebt over het pseudonimiseren, kun je het beste contact opnemen met het ziekenhuis waar je wordt behandeld of waar je werkt.

2. Het ziekenhuis (of de verwerker) verstrekt de gepseudonimiseerde gegevens aan de verwerker van DICA
Het ziekenhuis wil meewerken aan een van de kwaliteitsregistraties van DICA en daarvoor de gepseudonimiseerde gegevens van de patiënt en eventueel medisch personeel aanleveren. Deze verstrekking valt onder de verantwoordelijkheid van het ziekenhuis.

Zorgaanbieders hebben een verplichting op grond van artikel 7 Wet kwaliteit, klachten en geschillen zorg (Wkkgz) om zorg te dragen voor onder meer het op systematische wijze verzamelen en registreren van gegevens betreffende de kwaliteit van de zorg. Dit moet op een zodanige wijze dat de gegevens voor eenieder vergelijkbaar zijn met gegevens van andere zorgaanbieders van dezelfde categorie. Aan de hand van deze gegevens moet op systematische wijze getoetst worden of de wijze van uitvoering leidt tot goede zorg. Het ziekenhuis heeft voor deze verstrekking een grondslag nodig op grond van de AVG. Een mogelijke grondslag is voldoen aan een wettelijke plicht (artikel 6 lid 1 sub c AVG), de plicht uit het eerdergenoemde artikel. Een mogelijke uitzondering op het verwerkingsverbod voor bijzondere persoonsgegevens is bijvoorbeeld artikel 9 lid 2 sub i AVG (kwaliteitsverbetering).

De bepaling van de grondslag en de uitzondering op het verwerkingsverbod valt onder de verantwoordelijkheid van het ziekenhuis. Wanneer je hier meer informatie over wil, kun je het beste contact opnemen met het ziekenhuis waar je wordt behandeld.

Zorgaanbieders zijn gebonden aan een geheimhoudingsplicht op grond van de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Deze geheimhoudingsplicht is niet onbeperkt. Zorgaanbieders kunnen gepseudonimiseerde data aan de verwerker van DICA verstrekken ten behoeve van de kwaliteitsregistraties op de uitzonderingsgrond voor wetenschappelijk onderzoek. Het is dan niet noodzakelijk dat de patiënt toestemming geeft (informed consent) maar het is voldoende dat de patiënt de mogelijkheid heeft bezwaar te maken. De zorgaanbieder is verantwoordelijk voor dit proces. Heb je vragen hierover? Dan adviseren we je naar het ziekenhuis te gaan waar je onder behandeling bent.

3. Onder verantwoordelijkheid van DICA wordt spiegelinformatie gecreëerd
De derde stap is dat de verwerker van DICA op instructie van DICA de vergelijking tussen de verschillende ziekenhuizen maakt. DICA voert deze verwerking, het creëren van de spiegelinformatie, niet zelf uit. Dit wordt door een verwerker gedaan. DICA heeft feitelijk geen toegang tot deze gegevens. Dat is niet nodig. Toch is DICA verwerkingsverantwoordelijke in de zin van de AVG voor de verwerkingen in het kader van de kwaliteitsregistraties die zij beheert. DICA bepaalt immers het doel en de middelen van verwerking.

Het doel van kwaliteitsregistraties is het verbeteren van de zorgverlening in Nederland, het tegengaan van onnodige registratielasten voor zorgaanbieders en het beheersbaar houden van kosten voor de zorg. De grondslag is het gerechtvaardigd belang van artsen, patiënten en de samenleving om de kwaliteit van zorg te verbeteren (artikel 6 lid 1 sub f AVG). Door de data te vergelijken, optimaliseren we de aansluiting met innovaties in de zorg en dat levert gezondheidswinst op. Er wordt bijvoorbeeld efficiënter gewerkt en er komen minder complicaties voor. Dit heeft een positieve invloed op de benodigde capaciteit en de algehele effectiviteit van de zorg.

De uitzondering op het verwerkingsverbod voor bijzondere persoonsgegevens is de verwerking met het oog op wetenschappelijk onderzoek of statistische doeleinden zoals vastgelegd in artikel 9 lid 2 sub j AVG en artikel 89 lid 1 AVG. De mogelijkheid om bijzondere persoonsgegevens verder te verwerken voor wetenschappelijk onderzoek of statistische doeleinden is ook uitgewerkt in artikel 24 Uitvoeringswet AVG (UAVG).

Zoals hierboven al vermeld is er een nieuwe wet in de maak die een specifieke wettelijke grondslag zal vormen voor kwaliteitsregistraties: de Wkz.

4. Geaggregeerde spiegelinformatie delen met zorgaanbieders namens DICA
De spiegelinformatie die wordt terug geleverd aan artsen, patiënten, zorgbestuurders en zorgverzekeraars bevat geaggregeerde gegevens die in principe niet meer als persoonsgegevens zijn aan te merken. Als er sprake is geanonimiseerde gegevens, is de AVG niet meer van toepassing. Met de ontvangen spiegelinformatie kunnen zorgprofessionals de door hen geleverde zorg verbeteren.

Wetenschappelijk onderzoek
De kwaliteitsregistraties van DICA bevatten veel waardevolle informatie voor wetenschappers verbonden aan de deelnemende ziekenhuizen. Ook wordt DICA benaderd door wetenschappers van andere ziekenhuizen. Door wetenschappelijke onderzoek kan de gezondheidszorg verder worden verbeterd. DICA werkt mee aan dit wetenschappelijk onderzoek indien de aanvrager (aan de Clinical Audit Board van DICA) kan aantonen dat:

    • de aangevraagde gegevens noodzakelijk zijn voor het doel van het onderzoek;
    • de aangevraagde gegevens zullen leiden tot een verantwoorde publicatie; en
    • de aangevraagde gegevens verantwoord zullen worden gebruikt.

Ook beoordeelt (de privacycommissie van) DICA of de aanvrager kan aantonen dat:

    • het onderzoek in overeenstemming is met het doel van de kwaliteitsregistratie;
    • de privacy van patiënten voldoende gewaarborgd is en de patiënten niet (indirect) herleid kunnen worden door de onderzoeker;
    • de aangevraagde gegevens verantwoord zullen worden gebruikt;
    • de verstrekking van de aangevraagde gegevens de continuïteit van de kwaliteitsregistratie niet in gevaar brengt; en
    • de aangevraagde gegevens niet herleidbaar zijn tot individuele zorginstellingen en behandelaars.

Op grond van de AVG is het mogelijk gegevens verder te verwerken met het oog op wetenschappelijk onderzoek (artikel 5 lid 1 sub b AVG gelezen in samenhang met artikel 89 lid 1 AVG). De uitzondering op het verwerkingsverbod voor bijzondere persoonsgegevens is de verwerking met het oog op wetenschappelijk onderzoek zoals vastgelegd in artikel 9 lid 2 sub j AVG en artikel 89 lid 1 AVG. De mogelijkheid om bijzondere persoonsgegevens verder te verwerken voor wetenschappelijk onderzoek is ook uitgewerkt in artikel 24 UAVG.

Bezoekers van de website  

Website
Wanneer je de website van DICA bezoekt, worden de volgende persoonsgegevens verwerkt om een werkende en veilige website te bieden:

    • Locatiegegevens (op basis van jouw IP-adres, geen exacte locatie);
    • IP-adres;
    • Internetbrowser en apparaattype;
    • Gegevens over uw activiteiten op onze website.

De juridische grondslag hiervoor is het gerechtvaardigd belang van DICA en/of derden om een werkende website te bieden en deze te beveiligen.

DICA houdt een aantal loggegevens bij over het gebruik van de DICA-website, zoals jouw activiteiten op onze website om het gebruik van de website te analyseren en de website te kunnen verbeteren. Welke persoonsgegevens wij verzamelen is afhankelijk van jouw toestemming op de gevraagde cookies. Voor meer informatie omtrent cookies verwijzen wij  naar onze cookieverklaring. De juridische grondslag is toestemming.

Accounts toegankelijk via de website
Via de website van DICA is het mogelijk een account (My account) aan te maken waarmee toegang verkregen kan worden tot verschillende diensten: het Codman dashboard, DataEntry en Data Connect. Via het Codman dashboard voorziet DICA ziekenhuizen en zorgverleners van spiegelinformatie over de kwaliteit van geleverde zorg. Via DataEntry kunnen deelnemers aan DICA-registraties klinische data invoeren. Via Data Connect kunnen ziekenhuizen per batch, data aanleveren.

Om gebruik te kunnen maken van het account worden onder meer de volgende persoonsgegevens verwerkt:

    • Naam
    • Aanhef
    • Inloggegevens (zakelijk e-mailadres en wachtwoord)
    • Telefoonnummer
    • Informatie over de functie
    • Gegevens instelling
    • Gebruiksgegevens (zoals inlogdatum en -tijd)

Deze gegevens worden verwerkt om de diensten aan te kunnen bieden. De juridische grondslag is uitvoering overeenkomst. Ook kunnen deze gegevens gebruikt worden om het account te beveiligen, op grond van de grondslag het gerechtvaardigd belang van DICA en/of derden om gegevens te beveiligen.

Onderzoekers

Wetenschappelijke aanvragen
Via een formulier op de website van DICA kunnen gegevens worden aangevraagd ten behoeve van wetenschappelijk onderzoek. In het aanvraagformulier worden onder meer de volgende persoonsgegevens gevraagd:

    • Voor- en achternaam;
    • Telefoonnummer;
    • (Zakelijk) e-mailadres;
    • Functie;
    • Organisatienaam;
    • Informatie over uw onderzoek.

We verwerken de gegevens die nodig zijn om uw wetenschappelijke aanvraag te behandelen. De juridische grondslag is uitvoering (precontractuele fase) overeenkomst.

Contact
Er kan op verschillende andere manieren contact met ons worden opgenomen. Dit kan bijvoorbeeld per e-mail of telefonisch. Als je contact met ons hebt kunnen wij de volgende gegevens verwerken:

    • Voor- en achternaam;
    • Telefoonnummer;
    • (Zakelijk) e-mailadres;
    • Functie;
    • Organisatienaam;
    • Overige persoonsgegevens die je zelf verstrekt op het moment dat je contact met ons opneemt.

Wij verwerken enkel gegevens die nodig zijn om contact met je op te nemen, jouw vraag te beantwoorden. De grondslag is uitvoering (precontractuele fase) overeenkomst of het gerechtvaardigd belang van DICA om vragen zo goed mogelijk te beantwoorden.

Solliciteren
Op de website van DICA staan vacatures vermeld. Wanneer je solliciteert bij DICA zullen we aantal gegevens verwerken. Om jouw sollicitatie te behandelen zullen we contactgegevens (naam, aanhef, adres, telefoonnummer en e-mailadres), CV-gegevens en de correspondentie verwerken. De juridische grondslag is uitvoering (precontractuele fase) overeenkomst. Voor de beoordeling van de geschiktheid voor de functie, betrouwbaarheid en integriteit van de kandidaat kan DICA verwerken:

    • Contactgegevens (zoals naam, adres, telefoonnummer en e-mailadres);
    • Professionele gegevens zoals CV-gegevens, referenties en eventuele andere gegevens die aan DICA zijn verstrekt;
    • Openbare gegevens die DICA eventueel raadpleegt, zoals LinkedIn.

De juridische grondslag is het gerechtvaardigd belang van DICA om een bij de functie passende beoordeling te maken van de geschiktheid en betrouwbaarheid van een kandidaat. De grondslag toestemming wat betreft referenties is toestemming. Als de sollicitant dit wenst, kan DICA contactgegevens en CV-gegevens voor toekomstige vacatures een jaar bewaren. De juridische grondslag is toestemming.

Hoe worden jouw gegevens beveiligd?
We nemen de beveiliging van jouw gegevens zeer serieus. Jouw persoonsgegevens worden beveiligd op een manier die gelijkwaardig is aan de internationale standaard voor informatiebeveiliging ISO 27001. Zo treft DICA voortdurend passende maatregelen om uw gegevens te beveiligen tegen verlies, ongeoorloofd gebruik of de wijziging ervan. We voeren op onze website regelmatig geautomatiseerde veiligheidsscans uit. Communicatie via de website of e-mail vindt versleuteld, gecontroleerd en veilig plaats. Daarnaast zijn DICA-medewerkers verplicht om jouw gegevens geheim te houden.

Uw rechten
De AVG geeft je een aantal rechten:

  • Recht om toestemming in te trekken. Je hebt te allen tijde het recht jouw toestemming in te trekken zonder opgave van redenen. Er wordt dan gestopt met het verwerken van de persoonsgegevens ten aanzien waarvan jij jouw toestemming intrekt, tenzij er een andere reden is die tot verwerking verplicht.
  • Recht op inzage en rectificatie. Je kan vragen of en welke gegevens we van jou verwerken. We kunnen hier inzage in geven op verzoek. Daarnaast kan je ook vragen om gegevens te wijzigen als deze onjuist of onvolledig zijn.
  • Recht op gegevenswissing. Je kan vragen om de gegevens die we van jou hebben te verwijderen wanneer de persoonsgegevens niet ter zake dienend zijn voor het doel waarvoor ze zijn verzameld of wanneer toestemming is ingetrokken.
  • Recht op beperking van de verwerking. Je hebt het recht een beperking van de verwerking te verzoeken, als je de juistheid van de persoonsgegevens die worden verwerkt, betwist.
  • Recht op dataportabiliteit. Je hebt het recht ons te vragen om de gegevens die we van jou hebben te verkrijgen of om ze over te dragen aan een andere partij.

 

Je kan schriftelijke verzoeken en/of vragen met betrekking tot jouw persoonsgegevens sturen aan DICA, via privacy@dica.nl. Je ontvangt dan zo spoedig mogelijk antwoord. Eventuele klachten of vragen over de verwerking van gegevens door DICA kan je richten aan de FG van DICA via (fg@dica.nl). Uiteraard kun je jouw vraag of klacht ook indienen bij de Autoriteit Persoonsgegevens.

Ontvangers van persoonsgegevens

Verwerkers
DICA kan persoonsgegevens verstrekken aan leveranciers, die in opdracht van DICA optreden als verwerker, zoals Medical Research Data Management BV (MRDM) en (andere) IT-dienstverleners. Met deze partijen heeft DICA een verwerkersovereenkomst gesloten. Voor meer informatie over deze leveranciers kan je contact met ons opnemen via privacy@dica.nl.

Verwerkingsverantwoordelijken
DICA kan persoonsgegevens verstrekken andere verwerkingsverantwoordelijken, indien dit nodig is voor de uitvoering van een overeenkomst met jou, indien wij daartoe verplicht zijn op grond van wet- en regelgeving, wij daartoe genoodzaakt zijn als gevolg van een rechtszaak en/of in het geval wij dat noodzakelijk achten ter bescherming van onze eigen gerechtvaardigde belangen of van derden. Voorbeelden van zulke derde partijen zijn accountants en advocaten.

Worden persoonsgegevens doorgegeven naar andere landen?
Jouw persoonsgegevens zullen alleen door DICA of door DICA ingeschakelde derden worden verwerkt buiten de Europese Economische Ruimte (EER) indien dit in overeenstemming is met AVG, bijvoorbeeld omdat (i) de Europese Commissie heeft besloten dat het betreffende derde land een passend beschermingsniveau heeft, er (ii) passende waarborgen worden geboden of (iii) afwijkingen voor specifieke situaties mogelijk zijn. Voor meer informatie kan je contact opnemen via privacy@dica.nl

Hoe worden bewaartermijnen bepaald?
Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doel waarvoor ze zijn verzameld. Als we gegevens niet langer nodig hebben voor de doelen zoals hierboven omschreven met inachtneming van wettelijke bewaarplichten, dan zullen de gegevens in beginsel worden verwijderd. Eventueel kan DICA de gegevens nog bewaren voor archivering, in het kader van juridische procedures of voor onderzoek.

Versie en wijzigingen
Wij zullen deze verklaring af en toe wijzigen. Je kan deze webpagina raadplegen voor de laatste versie. De laatste aanpassing is gedaan op 4 oktober 2024. We zullen ernaar streven je van substantiële wijzigingen op de hoogte te brengen.