De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

… welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy Tele-monitoring

Verwante presentaties


Presentatie over: "… welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy Tele-monitoring"— Transcript van de presentatie:

1 … welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy Tele-monitoring

2 Opzet van deze presentatie 1. Overlopen structuur eerste deliverable WP2 2. Privacy policy 3. Security policy

3 Structuur (1) I. Wet verwerking persoonsgegevens -begrippenkader -voorwaarden voor legitieme en rechtmatige verwerking -beveiliging en vertrouwelijkheid -rechten van de betrokkene -aangifteverplichting II. Wetgeving ivm patiënten rechten -beroepsgeheim -Wet betreffende rechten van de patiënt

4 Structuur (2) III. E-privacy (verkeers- en localisatiegegevens) -vertrouwelijkheid en beveiliging -”data minimization” IV. E-commerce (“diensten van de informatiemaatschappij”) -informatieverplichting -aansprakelijkheid V. ?? (Behealth, GIS, …)

5 Het opstellen van privacy & security policies Privacy policy: m.b.t. inhoud en de verwerking van de persoonsgegevens Security policy: m.b.t. technische en organisatorische beveiligingsaspecten.

6 Privacy policy (1) Aan welke voorwaarden moet bij een verwerking van gezondheidsgegevens worden voldaan? 1) Legitimiteit  “informed consent” 2) Rechtmatigheid -proportionaliteit -compatibiliteit -accuraat en bijgewerkt -beperkte duur 3) Vertrouwelijkheid  toegang tot gegevens beperken tot noodzakelijke  verwerkingsbevoegdheid beperken tot noodzakelijke

7 Privacy policy (2): Bijkomende voorwaarden omwille van het “gevoelige karakter” van de gegevens De beroepsbeoefenaar in de gezondheidszorg De bijzondere voorwaarden voor de verwerking van gezondheidsgegevens 1. Aanwijzing van de (categorieën van) verwerkingsbevoegde personen 2. Mededeling van de lijst met machtigingen op verzoek van de Commissie 3. Verplichting tot vertrouwelijkheid 4. Vermelding van de wettelijke grondslag Bijkomende waarborgen bij de verwerking van gezondheidsgegevens 1. Verstrekken van bijkomende informatie (art. 26 Uitvoeringsbesluit) 2. Verbod tot verwerking (afhankelijke positie) (art. 27 Uitvoeringsbesluit)

8 Privacy Policy (3): Access Control Elke verzoek tot toegang tot medische persoonsgegevens dient de volgende elementen in rekening te brengen: 1) Identiteit en capaciteit van de verzoeker; 2) Authenticatie van de verzoeker; 3) Soort informatie (administratieve info, bijzonder gevoelige info, …) 4) Doel van de aanvraag dient omschreven te worden (  enkel relevante info moet toekomen!) 5) De graad van confidentialiteit moet gerespecteerd worden 6) Authorisatie / Verwerkeringsmogelijkheden (lezen, schrijven, wissen, …) moeten beperkt zijn in functie van noodzakelijke Uitgangspunt: enkel beroepsbeoefenaar in de gezondheidszorg die zich momenteel in een therapeutische relatie ten opzichte van de patiënt bevindt kan toegangsgerechtigd zijn.

9 Security policy (1) Art. 16 WVP: “gepaste technische en organisatorische maatregelen”  wordt verder ingevuld door: a) specifieke beveiligingsverplichtingen; b) “referentiemaatregelen” CBPL; c) adviezen CBPL, Art. 29 WP, Orde van Geneesheren en Telematica commissie

10 Security policy (2): specifieke beveiligingsverplichtingen Aantal concrete toepassingen van de algemene beveiligingsverplichting onder artikel 16, §4 in artikel 16, §2:  Access Control  Data accuracy  Sensibilisering  Software conformity

11 Beveiligingsverplichtingen bij verwerkingen met een verwerker (art. 16 § 1 WVP) Aanstelling verwerker: doorwerking van de verplichtingen van de verantwoordelijke voor de verwerking: -verwerker moet voldoende technische en organisatorische beveiligingsmaatregelen kunnen nemen; -verantwoordelijke moet toezien op de naleving ervan; -contractuele regeling onderlinge rechten en plichten uit WVP; -verwerker mag slechts in opdracht handelen van de verantwoordelijke van de verwerking

12 Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens; 10 actiedomeinen (4 blz.); ties/referenciemaatregelen%20vs%2001. pdf ties/referenciemaatregelen%20vs%2001. pdf

13 Referentiemaatregelen (1-5) het opstellen van een veiligheidsbeleid; het aanstellen van een veiligheidsconsulent; het omschrijven van de verantwoordelijkheden en het beheersproces inzake beveiliging van persoonsgegevens ( en de integratie hiervan in de algemene organisatiestructuur en werking); maatregelen met betrekking tot de fysieke bescherming van de persoonsgegevens; de beveiliging van de netwerken;

14 Referentiemaatregelen (6-10) de logische beveiliging van de toegang; (acces control: het belang van identificatie/authentificatie/ authorisatie!!) logging, opsporing en, analyse van de toegang: belang om record bij te houden van iedere zorgverstrekker toezicht, nazicht en onderhoud (m.b.t. de technische of organisatorische veiligheidsmaatregelen) beheer van veiligheidsincidenten en continuïteit; het bijhouden van een volledige, gecentraliseerde documentatie.

15 Technologische beveiliging bij transmissie gezondheidsgegevens via internet = gebaseerd op adviezen Privacycommissie, Orde van Geneesheren, Art. 29 WP, Telematica Commissie  Dienen als “minima”  Not “future proof” (!)

16 Transmissie gezondheidsgegevens via internet (2) Waarborgen confidentialiteit: (assymetrische) encryptie (1999: RSA-keys met minimum 1024 bits) (Orde als TTP + key escrow) Identificatie en authenticatie: gecertificeerde electronische handtekening Server requirements: data storage in gecodeerde vorm, limited duration, … Other privacy enhancing technologies? (VPNs, …) Erkend software-pakket? (Behealth)

17 Varia Eventuele opmerkingen en suggesties zijn steeds welkom! ( of 016/ )

18 Van Alsenoy Brendan Interdisciplinary Center for Law & ICT - ICRI K.U.Leuven Sint Michielsstraat Leuven


Download ppt "… welke zijn de juridische verplichtingen en beperkingen? Brendan Van Alsenoy Tele-monitoring"

Verwante presentaties


Ads door Google