Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen Risico’s en zo

Algemene Verordening Gegevensbescherming AVG Vervangt per 25 mei de Wet Bescherming Persoonsgegevens

Begrippen uit de wet (voor we verdergaan) Betrokkene  de persoon waarover informatie wordt vastgelegd Verantwoordelijke  de persoon/organisatie die de informatie gebruikt Verwerker  meestal de leverancier die de verantwoordelijke helpt met onderhoud en beheer van informatie (= nu Bewerker) Persoonsgegevens  gegevens over geïdentificeerde / identificeerbare personen Bijzondere persoonsgegevens  extra informatie over deze personen, bijvoorbeeld godsdienst, ziekte, politieke gezindheid etc.

Begrippen uit de wet (voor we verdergaan) Functionaris Gegevensbescherming  Ziet toe op naleving van de AVG, informeert en adviseert. Verwerking  Een geheel van activiteiten mbt persoonsgegevens (opslaan, verzamelen, vastleggen, structuren, bijwerken, overdragen….(kortom alles wat je met gegevens kan doen). Register van verwerkingsactiviteiten  Een overzicht (lijst) met alle verwerkingen in een organisatie. Gegevensbeschermingseffectbeoordeling  Een analyse naar de gevolgen van een verandering op de beveiliging. PIA

Wet Bescherming Persoonsgegevens (vanaf 2001) Elke verwerking moet in lijn zijn met de wet Elke verwerking moet een geldig doel hebben Betrokkenen moeten op de hoogte (kunnen) zijn Gegevens moeten passend worden beveiligd

Wet Bescherming Persoonsgegevens (vanaf 2001) Vervolg: Betrokkenen hebben rechten, inzage, verbetering, verwijdering U bent verplicht een Datalek aan te melden Verantwoordelijken moeten bewerkersovereenkomsten afsluiten met bewerkers

AVG Algemene Verordening Gegevensbescherming, vanaf 25 mei 2018 Engels: General Data Protection Regulation, GDPR Vertaald door Vlamingen, vandaar: Functionaris Gegevensbescherming  Privacy Officer Gegevensbeschermingeffectbeoordeling  Privacy Impact Analyse (het behoud van het Nederlands is belangrijk bij onze zuiderburen)

Van WBP naar AVG AVG vervangt de WBP op 25 mei 2018 Plichten van Verantwoordelijken groter Rechten Betrokkenen groter In de praktijk zijn de verschillen tussen WBP en AVG niet heel groot.

Rechten van patiënten WBP Inzagerecht Verbeteringsrecht Verwijderingsrecht Extra vanwege de AVG: Recht op vergetelheid Gegevenswissingsrecht Gegevensoverdraagbaarheidsrecht Recht op beperking (opschorten bewerking)

Extra vanwege de AVG Aantonen dat u zich aan de wet houdt (Accountability) Aantonen dat u voldoende maatregelen heeft genomen Functionaris Gegevensbescherming aanstellen (tenzij u een solist bent) U moet een register van verwerkingen bijhouden Privacy Impact Assessment uitvoeren bij veranderingen

Functionaris Gegevensbescherming Artikel 62 WBP “Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor gegevensbescherming benoemen, …” AVG: De FG is verplicht voor organisaties in de Gezondheidszorg (niet voor de individuele arts)

Wet op de Geneeskundige Behandel Overeenkomst (WGBO) Bewaren en vernietigen dossiers Recht op inzage door patiënt Het hebben van een behandelrelatie en toegang tot het medisch dossier

Belangrijkste consequenties Vastleggen persoonsgegevens moet een relatie hebben met het doel. Persoonsgegevens moeten passend beveiligd zijn. U mag uitbesteden, maar niet ten koste van de beveiliging  verwerkersovereenkomst. U moet een register bijhouden van verwerkingen. Wanneer iets gebeurt (datalek) moet u dat melden.

Waarmee beginnen? Register van verwerkingen Risico’s in kaart brengen

Register verwerkingen = een overzicht met alle applicaties, bestanden, lijsten, dossiers met persoonsgegevens

Wat heb ik eraan? Is het beveiligd? Is er doelbinding? Register van Verwerkingen Registreer ik niet teveel? Welke leverancier is betrokken?

Register van Verwerkingen Naam Eigenaar, wie is verantwoordelijk? Het doel, is er een wettelijke grondslag? Over welke betrokkenen gaat het? Welke soorten persoonsgegevens leg ik vast? Met wie wissel ik uit? Hoe lang mag ik de verwerking bewaren? Welke leverancier is betrokken? Is een verwerkersovereenkomst nodig? Heb ik die afgesloten? Welke Maatregelen voor beveiliging heb ik genomen?

Aan de slag

Wat is een risico? Definitie: ‘het effect van onzekerheid op het behalen van doelstellingen’. Risico druk je uit in de vorm van een verhaaltje: Wat er kan gebeuren Wat de oorzaken en kwetsbaarheden hiervan kunnen zijn Wat de gevolgen (Impact) kunnen zijn

Iemand vernielt de server of neemt hem mee Er wordt ingebroken De ruimte Onvoldoende beveiligd Iemand vernielt de server of neemt hem mee Patiënt gegevens ‘op straat’ Gebeurtenis Kwetsbaarheid Gebeurtenis Impact Basis voor bepalen: Kans Basis voor bepalen: Impact Kans in combinatie met impact = Risiconiveau

Door werkzaam-heden gaat kabel kapot Geen extra voorziening Gebeurtenis Kwetsbaarheid Impact Impact Door werkzaam-heden gaat kabel kapot Geen extra voorziening We hebben geen internet voor enkele dagen U kunt uw HIS niet gebruiken Basis voor bepalen: Kans Basis voor bepalen: Impact Kans in combinatie met impact = Risiconiveau

Een waterleiding niet goed aangelegd Gebeurtenis Kwetsbaarheid Kwetsbaarheid Impact Impact Aardbeving Een waterleiding niet goed aangelegd De meterkast onder de waterleiding Geen stroom U moet alle patiënten afzeggen

Iemand valt de website aan Onvoldoende bescherming Denial of Service Gebeurtenis Kwetsbaarheid Impact Impact Iemand valt de website aan Onvoldoende bescherming Denial of Service Website uit de lucht, patiënten kunnen geen afspraken maken

Resultaat risicobeoordeling Risico’s geformuleerd in termen van: + kwetsbaarheden/oorzaken + gebeurtenissen + gevolgen

Over welke informatie gaat het? Mag ik die informatie hebben? Heb ik de informatie ‘passend beveiligd’? Register van Verwerkingen Heb ik aan alle risico’s gedacht? Accountability!!

Drie soorten maatregelen FYSIEK MENS ICT