Inzagerecht Patiënt
Maatregel Beschrijving
YipYip is als softwareleverancier verwerker in de zin van de AVG. De klant (zorginstelling) is verwerkingsverantwoordelijke en is verantwoordelijk voor het behandelen van inzageverzoeken van patiënten. YipYip zorgt ervoor dat de gebouwde applicaties de technische functionaliteit bieden die de klant nodig heeft om het inzagerecht te faciliteren, en ondersteunt de klant als verwerker bij de uitvoering van dergelijke verzoeken.
Verantwoordelijkheidsverdeling
| Aspect | Verantwoordelijkheid |
|---|---|
| Ontvangen en beoordelen inzageverzoek | Klant (zorginstelling) |
| Technische export van patiëntdata | YipYip (via applicatiefunctionaliteit of directe ondersteuning) |
| Inzage in toegangslog (wie heeft dossier ingezien) | YipYip via applicatie-/loggingfunctionaliteit |
| Identiteitsverificatie van verzoeker | Klant |
| Tijdig afhandelen (binnen wettelijke termijn) | Klant |
Wat we bouwen
Data-export functionaliteit
Afhankelijk van projectscope implementeert YipYip een of meer van de volgende exportmogelijkheden:
| Methode | Format | Toelichting |
|---|---|---|
| Self-service patiëntportaal | PDF / JSON | Patiënt downloadt eigen data direct uit de app |
| Beheer-export door klantbeheerder | CSV / PDF | Klantbeheerder exporteert data op verzoek van patiënt |
| API-endpoint voor data-portabiliteit | FHIR Bundle (JSON) | Machine-readable export conform AVG art. 20 |
Welke exportmethode beschikbaar is, wordt bepaald in de functionele specificaties per project.
Inzage in toegangslog
Op verzoek van de klant (ten behoeve van een patiëntinzageverzoek in de zin van de WGBO) levert YipYip een overzicht van wie toegang heeft gehad tot de data van een specifieke patiënt:
- Inhoud: Datum, tijdstip, gebruikers-ID of rol, type actie (inzien/wijzigen/exporteren)
- Format: PDF of CSV
- Levertijd: Binnen 5 werkdagen na klantverzoek
- Masking: Gebruikersnamen van klantmedewerkers worden getoond conform afspraak met klant (soms geanonimiseerd naar rol)
DSAR-ondersteuning als verwerker
Wanneer een klant een Data Subject Access Request (DSAR) van een patiënt ontvangt en YipYip om technische ondersteuning vraagt:
- Klant stuurt verzoek via supportkanaal (e-mail of Jira-ticket) met patiënt-ID en gewenste scope
- YipYip bepaalt welke data beschikbaar is in de applicatie
- YipYip levert data-export en/of toegangslog aan klant
- Klant verwerkt het verzoek richting de patiënt
- YipYip verwerkt verzoek binnen de AVG-termijn van 30 dagen na ontvangst
Technische vereisten in de applicatie
Elk project met patiëntdata wordt ontwikkeld met de volgende inzagevereisten in het achterhoofd:
- Geen “orphan data”: Alle patiëntdata is herleidbaar tot één patiënt-ID (zie NEN7510-Z6)
- Volledigheid export: Een data-export bevat alle data die de applicatie over een patiënt heeft (inclusief logs van toegang)
- Testbaar: Export-functionaliteit wordt getest als onderdeel van het acceptance testplan
- Verwijderproces: Applicatie ondersteunt soft-delete met audit trail (voor toekomstige AVG-vergetelheidsverzoeken)
Gaps
- Niet alle actieve klantprojecten hebben een self-service patiëntportaal voor inzage; hierdoor is YipYip-ondersteuning via het supportkanaal de enige route
- Geen standaard SLA in verwerkersovereenkomsten specifiek voor DSAR-afhandeling (wordt opgenomen bij volgende verlenging)
Bewijs
| Type | Beschrijving | Locatie |
|---|---|---|
| Code | Export-functionaliteit per project | GitHub repository per project |
| Contractueel | Verwerkersovereenkomst met bepalingen over AVG-verzoeken | registers/leveranciers.yaml |
| Procedure | DSAR-ondersteuningsprocedure | evidence/ |
| Logs | Toegangslogs per project | AWS CloudWatch / GCP Cloud Logging |
Opmerkingen
YipYip ontvangt geen directe inzageverzoeken van patiënten — patiënten richten zich tot hun zorginstelling. YipYip’s rol is ervoor te zorgen dat de technische middelen aanwezig zijn zodat klant-zorginstellingen tijdig en volledig aan hun wettelijke verplichtingen kunnen voldoen.
Laatst gereviewed: 2026-03-26