Toolkit voor zorgaanbieders
Aansluiten via DVZA
3.2

Afspraken maken

De leverancier die de DVZA-rol vervult, is niet altijd de leverancier bij wie de gegevens opgeslagen staan (het bronsysteem). Om de gegevens uit deze systemen via de DVZA volgens het MedMij Afsprakenstelsel uit te wisselen, moeten er afspraken gemaakt worden tussen en met deze leveranciers. De zorginstelling moer ervoor zorgen dat er goede afspraken komen met en tussen de EPD-leverancier en de integrator en/of broker die DVZA-rol vervult.

Verwerkersovereenkomst

Binnen het MedMij Afsprakenstelsel opereert de DVZA onder jouw verantwoordelijkheid en daarom is er, naast een contract, ook een verwerkersovereenkomst nodig. Heb je al verwerkersovereenkomst? Dan kun je deze aanvullen of aanpassen. Ook moet je controleren of je ICT-leverancier zich houdt aan de afspraken in de verwerkersovereenkomst.

Verantwoordelijkheid voor gegevensuitwisseling

Deze blijft bij de zorgaanbieder liggen. Als zorgaanbieder ben je verwerkingsverantwoordelijk. Je moet verwerkingsovereenkomsten afsluiten in het geval persoonsgegevens in jouw opdracht door een derde (lees: verwerker) worden verwerkt.

Taken

Wat moet je doen?

  • Maak afspraken over de taakverdeling en verantwoordelijkheden tussen de zorginstelling, bronsysteem, eventuele broker en de DVZA bij het ontsluiten van de gegevensdiensten.
    Maak ook afspraken over het doorvoeren van updates zodat de gebruikte versies up to date blijven.
  • Bepaal of je met TVS- of een individuele DigiD-aansluiting gaat werken. Het informatiebeleid van de zorgaanbieder kan daarbij aangeven op welk veiligheids- en betrouwbaarheidsniveau je de authenticatie via DigiD vervolgens wilt uitvoeren.
    Binnen MedMij streven we naar niveau 'substantieel'.
  • Definieer gezamenlijk een risicoanalyse conform NEN 7510, en voer maatregelen uit rond informatiebeveiliging die bij jou als zorgaanbieder liggen.
  • Controleer samen met je EPD- en DVZA-leverancier of de gegevens al in het juiste format, dus in zibs (zorginformatiebouwstenen) geregistreerd worden.
    Mocht dit nog niet het geval zijn, maak dan afspraken met je de beide leveranciers over hoe je dit gerealiseerd krijgt.
  • Als zorgaanbieder blijf je verantwoordelijk voor het registreren van opvragingen en toestemmingen van dossiers van je zorggebruikers. Stem af met je DVZA en/of bronsysteemleverancier op welke wijze je dit borgt.
  • Spreek servicelevels af, volgens de eisen van het MedMij Afsprakenstelsel. Houdt er rekening mee dat de afspraken in het afsprakenstelsel jaarlijks worden geüpdated en dat je DVZA-leverancier hier ook in mee gaat.
    Houdt er rekening mee dat de afspraken in het afsprakenstelsel jaarlijks worden geüpdated en dat je DVZA-leverancier hier ook in mee gaat.
  • Stel een verwerkersovereenkomst op met je DVZA-leverancier en laat deze vooraf controleren door een jurist.
    Bekijk hiervoor de beschikbare modelovereenkomst en evalueer vervolgens periodiek de verwerkersovereenkomst.

Hieronder vind je een handreiking van de VIPP-regeling InZicht over het ontsluiten van bronsystemen naar een DVZA.

Heb je vragen?

Bel ons tijdens kantooruren of mail ons. We helpen je graag verder!