Aangezien gezondheidsgegevens van personen privacygevoelige gegevens zijn, is informatiebeveiliging van groot belang voor uitwisseling op basis van het Twiin Afsprakenstelsel. Privacy en Security by Design zijn dan ook onderdeel van de Twiin Principes. De informatieveiligheid is, in aanvulling op de wet- en regelgeving die per definitie van toepassing is op de Twiin Deelnemers, GtK Beheerders en GtK Leveranciers, op drie manieren geborgd in het stelsel:
-
Door de gegevensuitwisseling tussen GtK’s in hoge mate van detail te beschrijven en belangrijke maatregelen op het gebied van privacy en informatiebeveiliging hierin op te nemen (zie de technische kern).
-
Door strenge eisen te stellen aan de privacy en informatiebeveiliging van Twiin Deelnemers, GtK Beheerders en GtK Leveranciers (zie de voorwaarden).
-
Door onder verantwoordelijkheid van de Twiin Organisatie aanvullende procedures in te richten, waaronder het proces Incidentmelding, het proces Risicoanalyse en het proces Handhaving.
De Twiin Organisatie voert de regie over het in kaart brengen van privacy- en informatiebeveiligingsrisico's die individuele deelnemers overstijgen (stelselrisico's) en doet voorstellen voor maatregelen. Hiervoor voert de Twiin Organisatie periodiek een risicoanalyse uit. Op basis van deze risicoanalyse worden zo nodig maatregelen heroverwogen en eventueel aanvullende informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van de technische kern, de voorwaarden en afspraken over incidentmelding en risicoanalyse. De Twiin Organisatie laat (nieuwe) afspraken zoveel mogelijk aansluiten bij eisen van andere stelsels en hergebruiken bestaande certificeringen. Dit om te zorgen voor een goede samenhang van de afspraken wat er ook aan bijdraagt dat de implementatie-, financiële en administratieve lasten zo beperkt mogelijk blijven.
Samen met de Twiin Deelnemers en hun eventuele GtK Beheerders zorgt de Twiin Organisatie ook op een andere manier voor de privacy en informatiebeveiliging van het stelsel. Elke Twiin Deelnemer wijst een verantwoordelijke aan voor privacy en informatiebeveiliging. Twiin Deelnemer kan de rol van contactpersoon voor deze taak ook beleggen bij zijn GtK Beheerder. De contactgegevens worden vermeld in het Twiin Serviceportaal, conform de dienst Ketenregie. De Twiin Deelnemer blijft altijd de verwerkingsverantwoordelijke.
Tussen deze verantwoordelijken is zo nodig overleg. Ook is er een proces incidentmelding, zodat duidelijk is wat er van de verschillende partijen wordt verwacht bij incidenten. Twiin Deelnemers (dan wel hun GtK Beheerders) zijn verantwoordelijk voor het doorgeven van de juiste contactpersoon en informeren de Twiin Organisatie bij wijzigingen.
Ten slotte zorgt de Twiin Organisatie voor afstemming over informatiebeveiliging met bestaande partijen en ontwikkelingen in de zorg, en volgt zij de belangrijkste internationale ontwikkelingen.