Circle of Trust verklaring
Om gezondheidsgegevens op een veilige, digitale manier uit te wisselen tussen verschillende organisaties die actief zijn in de zorg- en hulpverlening, is het belangrijk dat deze organisaties voldoende voorzorgsmaatregelen nemen op gebied van informatieveiligheid. Door toe te treden tot de Circle of Trust weten andere organisaties dat gegevens op een veilige manier uitgewisseld kunnen worden.
In het kader van de toenemende communicatie van gezondheidsgegegevens van en naar een organisatie actief in het domein van gezondheid, zorg- en hulpverlening is er de noodzaak aan garanties met betrekking tot informatieveiligheid en wordt daarbij het principe van "Circle of Trust (COT)" voorzien.
Een COT wordt toegekend aan een organisatie (actief in het domein van gezondheid, zorg- en hulpverlening) die ten aanzien van zijn gebruikers van gegevens, op verschillende niveaus maatregelen inzake informatieveiligheid neemt en toeziet op de naleving ervan, zodat andere organisaties en of zorg- en hulpverleners en/of overheden en de betrokken burger er redelijkerwijze op kunnen vertrouwen dat deze veiligheidsmaatregelen nageleefd worden en ze die niet zelf dienen te organiseren of te controleren.
Voorwaarden om toe te treden
Om als organisatie beschouwd te kunnen worden als een COT, moet er aan 13 criteria voldaan zijn. Die criteria zijn gevalideerd in een reglement dat door het Beheerscomité van het eHealth-platform en door het Informatieveiligheidscomité is goedgekeurd. De criteria kunnen worden geraadpleegd op het portaal van het eHealth-platform.
De meeste voorwaarden zijn noodzakelijk in het kader van de algemene vordering gegevensbescherming (GDPR).
- Organisaties moeten zelf instaan voor de authenticatie van de medewerkers, de verificatie van de werkrelatie met de medewerker en de verificatie van de zorgrelatie tussen de medewerker en de persoon met een zorgnood.
- Organisaties moeten zelf instaan voor het toegangsbeheer van medewerkers en bijgevolg voor nieuwe of vertrekkende medewerkers rechten dienen toe te kennen of in te trekken.
- Organisaties houden zelf bij (loggen) welke medewerkers wanneer en voor welke doeleinden toegang krijgen tot de gegevens van de zorgbehoevende.
Wie heeft een COT-verklaring nodig?
Voorzieningen die de BelRAI-screener toepassen
Vanaf 1 juni 2021 zal de BelRAI-screener als verplicht inschalingsinstrument gebruikt worden in het kader van het zorgbudget zwaar zorgbehoevenden door de gemachtigde indicatiestellers. Dit is van toepassing voor:
- de diensten maatschappelijk werk van het ziekenfonds
- de diensten voor gezinszorg
- de OCMW's
- welzijnsverenigingen.
De voorzieningen die ervoor kiezen om de Vlaamse toepassing (BelRAI applicatie) te koppelen aan de eigen software (het eigen cliëntbeheersysteem), dienen kenbaar te maken dat men de 13 COT-voorwaarden respecteert (=COT-organisatie) aan de hand van de COT-verklaring op eer.
Een voorziening kan eveneens opteren om geen eigen software te gebruiken om met BelRAI te werken (=non-COT-organisatie). De medewerkers van de voorziening maken hierbij rechtstreeks gebruik van het Vlaams IT platform BelRAI. Elke individuele medewerker moet in dat geval wel geregistreerd worden in het toegangsbeheersysteem van eHealth. Bovendien zal er per medewerker manueel een zorgrelatie gecreëerd moeten worden met elke individuele persoon met een zorgbehoefte in de eHealthzorgrelatiedatabank. Het indienen van de COT-verklaring is voor deze voorzieningen niet van toepassing.
Sectoren die inkantelen in de Vlaamse Sociale Bescherming
Voor de sectoren die ingekanteld zijn de Vlaamse sociale bescherming is het noodzakelijk om te beschikken over een goedgekeurde COT-verklaring ten laatste op het moment van inkanteling. Op die manier kunnen data op digitale wijze conform de veiligheidsvoorwaarden uitgewisseld worden.
Hoe een COT-verklaring indienen?
De revalidatieziekenhuizen
Via een verklaring op eer bevestigen ziekenhuizen dat hun informatieveiligheidsbeleid in overeenstemming is met de bepalingen uit de Algemene verordening gegevensbescherming (AVG) en de toepassing ervan voor België (zie kader informatieveiligheid van de Kruispuntbank van de Sociale Zekerheid (KSZ)).
De diensten voor gezinszorg, de diensten maatschappelijk werk van het ziekenfonds, de revalidatieovereenkomsten, de PVT, de IBW en de MBE
De diensten moeten de COT-verklaring indienen via het e-loket van het Departement Zorg.
- Raadpleeg hier de handleiding voor het indienen van een COT-verklaring via het e-loketpdf bestand652.5kb.
- Geen toegang? Hebt u de toegangs- en gebruikersrechten voor het e-loket ingesteld?
De OCMW's en de welzijnsverenigingen
De diensten moeten de COT-verklaring indienen via het publiek webformulier.
Ouderenvoorzieningen
Alle Vlaamse woonzorgcentra, centra voor kortverblijf en centra voor dagverzorging moesten de COT-verklaring op eer ten laatste op 31 maart 2023 indienen via het e-loket van het Departement Zorg.
Circle of Trust (COT) verklaring op eer voor Vlaamse woonzorgcentra, centra voor kortverblijf en centra voor dagverzorging
De toepassing van de Circle of Trust (COT) criteria vindt plaats in een transitie naar uniforme criteria voor informatieveiligheid binnen de ouderenzorg. De COT-criteria zullen van toepassing zijn voor eWZCfin, BelRAI en andere eHealth toepassingen, zoals Vitalink. De COT-criteria zijn uniform voor alle organisaties die gezondheidsgegevens uitwisselen.