Compliance Blueprint
Technologische ontwikkelingen hebben grote invloed op de registratie, verwerking, opslag, uitwisseling alsmede verwijdering van patiëntgegevens en zodoende ook op het verantwoord omgaan met patiëntgegevens. Om draagvlak te krijgen voor nieuwe innovaties en digitale oplossingen, en daarmee adoptie van de nieuwe technologie te bevorderen, is het voldoen aan het bijbehorend regelgevend kader randvoorwaardelijk. Het regelgevend kader moet waarborgen dat de digitale oplossingen betrouwbaar en veilig zijn en de privacy van de patiënt is gegarandeerd. De (juridisch) specialisten van Deloitte helpen u bij:
- In kaart brengen van het regelgevend kader, waarbij onze aanpak gekenmerkt wordt door:
- Toepassing van regelgeving in de context van de organisatie en de digitale oplossing
- Integraal beeld van samenhangende en soms conflicterende regelgeving
- Kennis van zowel internationale als nationale regelgeving
- Vertalen van regelgevend kader naar concrete requirements voor organisatie, processen, systemen en contracten, rekening houdend met uw huidige organisatie.
- Opzetten van een risico-control framework om te borgen dat de organisatie aan alle requirements blijft voldoen. Onze aanpak wordt gekenmerkt door:
- Security, privacy en compliance ‘by design’ mee te nemen, waardoor kosten en aanpassingen achteraf worden voorkomen
- Risk-based binnen de context van uw organisatie te ontwerpen
- Monitoring van controls in het ontwerp direct mee te nemen, waardoor compliance betaalbaar, schaalbaar en real-time wordt aangeboden
Wij richten ons op de volgende deelgebieden:
Security
Regelgevend kader verwijst veelal naar:
- NEN 7510: Medische informatica – Informatiebeveiliging in de zorg
- NEN 7512: Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling
- NEN 7513: Medische informatica – Logging – Vastleggen van acties op elektronische patiëntdossiers
- ISO/IEC 27001: Informatiebeveiliging
- ISO/IEC 27017: Cloud security
- The best practices van OWASP (Open Web Application Security Project)
- National Institute of Standards and Technology (NIST)
Privacy
Regelgevend kader verwijst veelal naar:
- GDPR (General Data Protection Regulation) aangevuld met locale privacy regelgeving zoals:
- Wbp (Wet bescherming persoonsgegevens)
- CBP Richtsnoeren: beveiliging van persoonsgegevens, of bijvoorbeeld:
- HIPPAA (Health Insurance Portability and Accountability Act)
- Overige specifieke buitenlandse privacy wetgeving
Medical Devices
Regelgevend kader verwijst veelal naar:
- Verordening betreffende Medische Hulpmiddelen
- Verordening betreffende medische hulpmiddelen voor in-vitrodiagnostiek
- Richtlijn actieve implanteerbare medische hulpmiddelen 90/385/EEG
- Richtlijn in-vitro diagnostische medische hulpmiddelen 98/79/EG
- Richtlijn medische hulpmiddelen 93/42/EEG
- Wet op de medische hulpmiddelen
- Beleidsregels bestuurlijke boete Minister VWS
- ISO 13485 Medical devices – Quality management systems – Requirements for regulatory purposes
- IEC 82304-1:2016 Health software – Part 1: General requirements for product safety
- IEC 62304: Software voor medische hulpmiddelen – Processen in levenscyclus van programmatuur
Zorgspecifiek
Er is veel zorgspecifieke regelgeving aanwezig, een selectie hiervan:
- WGBO (Wet op de geneeskundige behandelingsovereenkomst)
- Wet BIG (Wet op de beroepen in de individuele gezondheidszorg)
- Wkkgz (Wet kwaliteit, klachten en geschillen zorg)
- Wet BSN-z (Wet Burgerservicenummer-zorg)
- Wmo (Wet maatschappelijke ondersteuning)
- Jw (Jeugdwet)
- Wmg (Wet marktordening gezondheidszorg)
- WMO (Wet medisch-wetenschappelijk onderzoek bij mensen)
- Wet Wopz (Wet bijzondere opneming in psychiatrische ziekenhuizen)
- KWZi (Kwaliteitswet zorginstellingen)
- Wtg (Wet tarieven gezondheidszorg)
- Zvw (Zorgverzekeringswet)
- Wet elektronische handtekeningen
Intellectual Property
Met het toenemende belang van Big Data worden bepaalde wetten belangrijker binnen de zorg, zoals:
- Dw (Databankwet)
- Aw (Auteurswet)
Belastingen
Met de verandering van zorglandschap ontstaan nieuwe samenwerkingsvormen en business modellen, waarbij onderzocht moet worden hoe deze passen bij:
- Fiscaal juridische vormgeving van samenwerkingen inzake gebruik en uitwisseling van patiënt data
- BTW aspecten van de terbeschikkingstelling van patiënt data
- Benutten van (fiscale) subsidies en speciale fiscale regimes, zoals bijvoorbeeld de Innovatiebox