Circle of Trust verklaring op eer

Organisaties met een COT krijgen daarmee het vertrouwen dat zij bepaalde medewerkers, via het eHealth- of eGezondheidssysteem van de overheid, rechten kunnen geven om in verschillende digitale toepassingen met gezondheidsgegevens aan de slag te gaan. 

Toelichting bij een Circle of Trust
 

Om als organisatie een COT te krijgen, moet deze  aan 13 criteria voor informatieveiligheid voldoen. 

De meeste van die criteria zijn noodzakelijk in het kader van de algemene verordening gegevensbescherming (AVG/GDPR).

• Organisaties moeten zelf instaan voor de authenticatie van de medewerkers, de verificatie van de werkrelatie met de medewerker en  de zorgrelatie tussen de medewerker en de persoon met een zorg- en ondersteuningsnood.
• Organisaties zijn verantwoordelijk voor het toegangsbeheer van het personeel via het toekennen of intrekken van rechten van  nieuwe of vertrekkende medewerkers.
• Organisaties houden zelf bij (loggen) welke medewerkers wanneer en voor welke doeleinden toegang krijgen tot de gegevens van de personen met een zorg- en ondersteuningsnood.

Die criteria zijn gevalideerd in een reglement dat door het Beheerscomité van het eHealth-platform en door het Informatieveiligheidscomité is goedgekeurd. 

De criteria vindt u in de verklaring op eer voor een COT op het eHealth-platform. 
 

1. Invullen: Een organisatie of voorziening moet een verklaring op eer invullen om een COT te verkrijgen. In die ‘Verklaring op eer COT’ geeft de organisatie bij elk criterium voor informatieveiligheid aan dat het dat criterium zal naleven.
2. Ondertekenen: De ‘Verklaring op eer COT’ moet door de wettelijk vertegenwoordiger van de inrichtende macht worden ondertekend. 
   • Wij raden aan om deze verklaring op eer voor de Circle of Trust altijd te bekrachtigen in uw organisatie met een rechtsgeldige beslissing van uw bestuursorgaan. 
   • We raden ook aan om deze verklaring op eer in te dienen voor alle zorgvormen binnen een organisatie. 
3. Indienen: De verklaring op eer dient u in bij de overheid die uw organisatie erkent, in dit geval het Departement Zorg. 

Voor welke Vlaamse toepassingen is een COT nodig/vereist?

Uw organisatie heeft een CoT nodig wanneer u digitaal gezondheidsgegevens verwerkt of uitwisselt en de overheid niet via de gebruikte toepassing zelf alle nodige veiligheidscontroles kan uitvoeren.

In de praktijk betekent dit dat u een CoT nodig hebt als u nu of in de toekomst functie van onderstaande Vlaamse toepassingen gebruikt via uw eigen softwaresysteem.  

• Vaccinnet 2026: het systeem om vanaf 2026 vaccins te bestellen en te registeren
• Het Vlaams IT-platform BelRAI: de applicatie om BelRAI-instrumenten te gebruiken als inschalingsinstrumenten voor de zorg- en ondersteuningsnood en het toekennen van zorgbudgetten
• Voor de financiering in de sectoren die ingekanteld zijn in de Vlaamse sociale bescherming (VSB)
• Vitalink
• Alivia: de toepassing om samen te werken aan digitale zorg- en ondersteuningsplannen
   

Voorzieningen en organisaties die erkend zijn door het Departement Zorg, moeten bij het departement hun verklaring op eer bevestigen. Enkel de wettelijke vertegenwoordiger van de inrichtende macht kan een CoT indienen.
Voor verschillende sectoren is dat in het verleden al gebeurd en is de COT in orde voor bestaande voorzieningen (of zijn de aanvragen lopende):

• Woonzorgcentra, incl. centra voor kortverblijf en dagverzorgingscentra (via e-loket)
• Diensten voor gezinszorg en diensten maatschappelijk werk van het ziekenfonds (via e-loket)
• OCMW’s en welzijnsverenigingen (via dit webformulier)
• Initiatieven voor beschut wonen en psychiatrische verzorgingstehuizen (via e-loket)
• Algemene ziekenhuizen en psychiatrische ziekenhuizen (digitaal ondertekende versie mailen naar de afdeling van het Departement Zorg die instaat voor uw erkenning)
• Revalidatieziekenhuizen (digitaal ondertekende versie mailen naar de afdeling van het Departement Zorg die instaat voor uw erkenning)
• Revalidatieovereenkomsten (via e-loket)
• Multidisciplinaire begeleidingsequipes (via e-loket)

Contacteer de afdeling van het Departement Zorg die instaat voor uw erkenning als uw COT toch niet in orde zou zijn.

In deze sectoren hebben nog niet alle voorzieningen een COT:

• Groepen van assistentiewoningen en serviceflatgebouwen: via e-loket
• Centra voor herstelverblijf: via e-loket
• Bedrijfsgeneeskundige diensten (afdelingen medisch toezicht in interne of externe dienst): via webformulier door een wettelijke vertegenwoordiger van de inrichtende macht (zie handleidingpdf bestand183.4kb)  
• Andere vaccinerende organisaties: via webformulier door een wettelijke vertegenwoordiger van de inrichtende macht (zie handleidingpdf bestand183.4kb)  

Bent u voor uw erkenning afhankelijk van een andere overheidsdienst dan het Departement Zorg, dan moet u uw Verklaring op eer indienen bij die andere overheidsdienst. Een paar voorbeelden:

• Centra voor leerlingenbegeleiding: Agodi
• Consultatiebureau’s Kind en Gezin: indien bij het Agentschap Opgroeien
• Voorzieningen voor personen met een handicap: indienen bij het VAPH
   

Je kan de “Circle of Trust”-verklaring van je voorziening nakijken in de CoBRHA-viewer via “Zorgvoorziening” > “Circle-of-trust” voor alle door het departement erkende organisaties. 

Als er “Ja” staat bij het veld “Circle-of-trust”, dan is dit al in orde.

Zorgvoorzieningen en organisaties met vragen over de 13 criteria, richten zich tot de Data Protection Officer (DPO) van de eigen organisatie. De DPO van uw voorziening kan zich vervolgens richten tot de DPO van de Vlaamse overheid.