Toolkit voor zorgaanbieders
Aansluiten via DVZA
3.2

Afspraken maken

De leverancier die de DVZA-rol vervult, is niet altijd de leverancier bij wie de gegevens opgeslagen staan (het bronsysteem). Om de gegevens uit deze systemen via de DVZA volgens het MedMij Afsprakenstelsel uit te wisselen, moeten er afspraken gemaakt worden tussen en met deze leveranciers. De zorginstelling moet ervoor zorgen dat er goede afspraken komen met en tussen de EPD-leverancier en de integrator en/of broker die DVZA-rol vervult.

Verwerkersovereenkomst

Binnen het MedMij Afsprakenstelsel opereert de DVZA onder jouw verantwoordelijkheid en daarom is er, naast een contract, ook een Verwerkersovereenkomst nodig. Heb je al Verwerkersovereenkomst? Dan kun je deze aanvullen of aanpassen. Ook moet je controleren of je ICT-leverancier zich houdt aan de afspraken in de Verwerkersovereenkomst.

Verantwoordelijkheid voor gegevensuitwisseling

De verantwoordelijkheid voor gegevensuitwisseling blijft bij de zorgaanbieder, je bent verwerkingsverantwoordelijk. Je moet verwerkingsovereenkomsten afsluiten als persoonsgegevens in jouw opdracht door een derde (lees: verwerker) worden verwerkt.

Taken

Wat moet je doen?

  • Maak afspraken over de taakverdeling en verantwoordelijkheden tussen de zorginstelling, bronsysteem, eventuele broker en de DVZA bij het ontsluiten van de gegevensdiensten.
    Maak ook afspraken over het doorvoeren van updates zodat de gebruikte versies up-to-date blijven.
  • Bepaal of je met TVS- of een individuele DigiD-aansluiting gaat werken. Het informatiebeleid van de zorgaanbieder kan daarbij aangeven op welk veiligheids- en betrouwbaarheidsniveau je de authenticatie via DigiD vervolgens wilt uitvoeren.
    Binnen MedMij streven we naar niveau 'Substantieel'.
  • Definieer gezamenlijk een risicoanalyse conform NEN 7510, en voer maatregelen uit rond informatiebeveiliging die bij jou als zorgaanbieder liggen.
  • Controleer samen met je EPD-leverancier en je DVZA of de gegevens al in het juiste format, dus in zibs (zorginformatiebouwstenen) geregistreerd worden.
    Mocht dit nog niet het geval zijn, maak dan afspraken met je leverancier(s) over hoe je dit gerealiseerd krijgt.
  • Als zorgaanbieder blijf je verantwoordelijk voor het registreren van opvragingen en toestemmingen van dossiers van je zorggebruikers. Stem af met je DVZA en/of bronsysteemleverancier hoe je dit borgt.
  • Spreek servicelevels af, volgens de eisen van het MedMij Afsprakenstelsel. Houdt er rekening mee dat de afspraken in het afsprakenstelsel jaarlijks worden geüpdatet en dat je DVZA-leverancier hier ook in mee gaat.
    Houdt er rekening mee dat de afspraken in het afsprakenstelsel jaarlijks worden geüpdatet en dat je DVZA-leverancier hier ook in mee gaat.
  • Stel een Verwerkersovereenkomst op met je DVZA en laat deze vooraf controleren door een jurist.
    Bekijk hiervoor de beschikbare modelovereenkomst en evalueer vervolgens periodiek de Verwerkersovereenkomst.

Hieronder vind je een handreiking van de VIPP-regeling InZicht over het ontsluiten van bronsystemen naar een DVZA.

Heb je vragen?

Bel ons tijdens kantooruren of mail ons. We helpen je graag verder!