Werken met LanCOS: een handreiking voor een Privacy Impact Analyse
Om samenwerking met crisisondersteuningsteams te ondersteunen is een nieuwe applicatieontwikkeld: LanCOS. De Algemene Verordening Gegevensbescherming (AVG) vereist dat voorafgaand aan het in gebruik nemen van deze applicatie een Data Protection Impact Assessment DPIA) of Privacy Impact Assessment (PIA) wordt uitgevoerd. Drie zorgaanbieders hebben met steun van de VGN een handreiking opgesteld voor het uitvoeren van een (D)PIA.
Op het moment van schrijven (juni 2022) werken in de verschillende crisisregio’s de zorgaanbieders op heel verschillende manier samen. De informatie-uitwisseling vanuit zorgaanbieder heeft niet altijd hetzelfde beveiligingsniveau. Zorgverzekeraars Nederland (ZN) heeft daarom het initiatief genomen tot het laten ontwikkelen van een applicatie die de crisisondersteuningsteams (COT) op een veilige manier moet ondersteunen. Dat is LanCOS, ontwikkeld door ZorgMatch. Ongeveer 50 aanbieders van gehandicaptenzorg hebben hiermee te maken. Zij hebben meerdere contracten en toelichtende documenten ontvangen.
De Algemene Verordening Gegevensbescherming (AVG) stelt dat organisaties bij nieuwe verwerkingen van persoonsgegevens privacyrisico’s behoren te inventariseren en maatregelen behoren te treffen. Dit is via een Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA). Voor de ontwikkelfase hebben de Zorgverzekeraars Nederland het initiatief genomen voor een DPIA. Voor de gebruiksfase van LanCOS kunnen de zorgverzekeraars (Zorgkantoren) dit niet doen omdat zij in de gebruiksfase geen persoonsgegevens verwerken. Om te voorkomen dat straks 50 zorgaanbieders een eigen DPIA gaan maken voor de gebruiksfase hebben drie zorgaanbieders het initiatief genomen tot het gezamenlijk opstellen van een DPIA en deze ter beschikking te stellen aan de overige zorgaanbieders die actief zijn in een Crisis- en OndersteuningsTeam. Omdat elk van de betrokken zorgaanbieders actief is in de VG-sector heeft de VGN als brancheorganisatie het opstellen van de voorliggende DPIA ondersteund. De drie zorgaanbieders die deze DPIA geschreven hebben zijn Cordaan, de Hartekamp Groep en ’s Heeren Loo.
Bijgevoegde handreiking is bedoeld om zorgorganisaties een helpende hand te bieden bij het uitvoeren van een DPIA in de eigen organisatie. Daarbij blijft het de verantwoordelijkheid van elke individuele zorgaanbieder om te beoordelen of voorliggend document voldoende is om als DPIA in de eigen organisatie te kunnen dienen.