FarmaFlux: 100% gegevensbescherming van a tot z

Het is een vaststaand feit dat de huidige pandemie een echte katalysator geweest is voor de verdere digitalisering van de gezondheidszorg. Tegelijk zien we echter dat dit vaak ten koste gaat van onze privacy. In het kader van een reeks zorginitiatieven waarbij FarmaFlux betrokken is, stellen we dan ook alles in het werk om de verwerkte gegevens met grote omzichtigheid te behandelen.

De coronacrisis dwong ons een versnelling hoger te schakelen op het vlak van digital health, wat  zowel kosten als tijd deed besparen. Een groot nadeel is natuurlijk wel dat het grote risico op hacking, phishing en ransomware – wat onlangs al bleek toen het Europees Geneesmiddelenbureau EMA bezoek kreeg van hackers die de vaccindocumenten van Pfizer inkeken. Zeker met gevoelige data zoals gezondheidsgegevens is het dubbel opletten. De AVG/GDPR besteedt er dan ook expliciet aandacht aan in diverse artikels, waaronder Artikel 35. Het is inderdaad cruciaal dat er een kader is waarbinnen organisaties, zorgverstrekkers en patiënten op een veilige manier en in vertrouwen gegevens kunnen delen. En dit natuurlijk op voorwaarde dat de patiënt zijn toestemming hiervoor heeft gegeven (geïnformeerde consent).

DPIA

Indien de verwerking van persoonsgegevens een privacyrisico kan inhouden, dient een Data Protection Impact Assessment (DPIA) of een Gegevensbeschermingseffectbeoordeling uitgevoerd te worden. Dit geldt ook voor FarmaFlux vzw aangezien zij optreedt als verwerker voor persoonsgegevens verkregen in het kader van de diensten die zij aanbiedt aan apotheken. Het gaat hierbij onder andere om het Gedeeld Farmaceutisch Dossier (GFD), AssurPharma en RAOTD. De apotheek die gebruik wenst te maken van één van deze diensten is verplicht een uitbestedingscontract af te sluiten met FarmaFlux. Deze overeenkomst is conform artikel 28 AVG en legt de verhoudingen vast tussen de verwerkingsverantwoordelijke (apotheek) en de verwerker (FarmaFlux).

De taak van FarmaFlux is tweeledig: waken over de kwaliteit en de juistheid van de gegevens die de apothekers willen uitwisselen vooraleer ze in de centrale databank van het GFD terechtkomen. Daarnaast kijken we strikt toe op het veilig gebruik van de via het GFD gedeelde patiëntengegevens, aangezien FarmaFlux de wettelijke verantwoordelijkheid draagt voor de privacybescherming van de patiënten.

Risico-analyse

in het kader van het gebruik van gegevens uit de Trusted Intermediary for Pharmacists (TIP) voert de Data Protection Officer (DPO) van FarmaFlux een DPIA uit. Dit is een analyse van de verwerkingen van (persoons)gegevens voor statistische doeleinden en bevat de algemene context, informatie over de verwerkingen, beoordeling van de samenhangende risico’s en concrete maatregelen die genomen worden om deze risico’s te beheersen.

FarmaFlux mag, mits naleving van de voorwaarden vervat in de AVG, enerzijds overgaan tot het anonimiseren van deze persoonsgegevens en anderzijds deze persoonsgegevens verder verwerken voor statistische doeleinden, hetgeen verenigbaar hergebruik uitmaakt.

Zorginitiatieven

FarmaFlux is betrokken bij een reeks zorginitiatieven waarbij data verzameld en/of geanalyseeerd worden. Op de website krijg je een overzicht van de projecten waarvoor FarmaFlux gebruikmaakt van gegevens die binnenkomen in de TIP. Per project wordt telkens de frequentie van de query weergegeven, de desbetreffende CNK-codes alsook de parameters waarvoor er een resultaat wordt overgemaakt aan de klant.

Meer info hierover vind je hier