Impact van nieuwe europese privacywetgeving (AVG/GDPR) op interoperabiliteit in de zorg René Spronk, Trainer, Ringholm

Stel: u leent uw auto uit Vraag of men uw auto mag lenen (toestemming, transparantie) Geef aan voor welk doel men wil lenen (transparantie, doel) en dan niet gebruiken voor enig ander doel Ga zorgvuldig om met de auto (vermijd ongelukken, boetes) Mocht er toch iets gebeuren, deel dat dan direct mee (notificatie), en probeer de gevolgen te compenseren Geef de auto terug als daarom gevraagd wordt (portabiliteit, verwijdering) Analogy by Tim Walters, as qouted here: http://bit.ly/2iDDTiJ

Algemene Verordening Gegevensbescherming (AVG), highlights Valid consent must be explicit (opt-in based) for data collected and the purposes data is used The data subject has the right to request erasure of personal data related to them A person shall be able to transfer their personal data from one electronic processing system to and into another without being prevented from doing so by the data controller the data must be provided by the controller in a structured and commonly used Open Standard electronic format. Has force of law, effective May 2018.

Wetgeving rond interoperabiliteit in Nederland (selectie) EU: ePrivacy Regulation (ontwerp verordening) EU: ePrivacy Directive (richtlijn) 2002,2009 vervangen door specifieke invulling NL: Wet Clientrechten in de Zorg (Wcz) heeft NL: Wet Bescherming Persoons- gegevens (WBP) invloed NL: Wet Geneeskundige BehandelOvereenkomst (WGBO) uitwerking EU: Data Protection Directive (richtlijn) NL: Algemene Verordening Gegevens-bescherming (AVG) – vanaf 25 mei 2018 vervangt gelijkluidend specifieke invulling EU: General Data Protection Regulation (GDPR) vervangen door www.ringholm.com

Rechtmatige Verwerkingsgronden (AVG Artikel 6) Op grond van toestemming: de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; Op grond van overeenkomst [..]; Op grond van een wettelijke bepaling voldoen aan een wettelijke verplichting [..]; de vitale belangen van de betrokkene [..] te beschermen; vervulling van een taak van algemeen belang [..]; behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke [..]

Verwerking van zorggegevens uitsluitend als (AVG Artikel 9, ged.) Op grond van een overeenkomst (Overeenkomst anders dan die voor een behandelrelatie) Op grond van een wettelijke bepaling het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker [..]; Op grond van lidstatelijk recht: (gebruikt door o.a. Oostenrijk en Denemarken voor hun “opt-out” nationale infrastructuren) Uit hoofde van een overeenkomst: “behandelrelatie/behandelovereenkomst (WGBO, Wcz)”: de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen vervulling van een taak van algemeen belang [..]; , redenen van zwaarwegend algemeen belang, op grond van EU of Nederlands recht archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden [waarbij] passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

Data Access Right (GDPR Art.15) The data SHALL be provided in a commonly used electronic form. Structured data is not a requirement, a PDF would be sufficient access to the personal data and the following information (amongst other things): the purposes of the processing (Legal ground for processing, Art.6); the categories of personal data concerned; the recipients or categories of recipient to whom the personal data have been or will be disclosed, where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; where the personal data are not collected from the data subject, any available information as to their source.

Recht van overdraagbaarheid / Data Portability Right (AVG Art.20) Allows individuals to obtain and reuse their personal data for their own purposes across different services (e.g. second opinion, switching healthcare providers, use of a PHR). Scope: Electronic Data, “provided by” the patient, AND “where explict consent by the patient has been given or where processing is based on a contract” Alleen SO, niet EP (uit het zgn. SOEP model). Dus inclusief alle medische beelddiagnostiek API, Gestructureerde gegevens, toepassing gebruikelijke standaarden die upload elders gemakkelijk mogelijk maken.

WGBO – Wet Geneeskundige Behandelovereenkomst De WGBO Overeenkomst over geneeskundige handelingen, goed hulpverlenerschap Dossiervoering: De hulpverlener richt een dossier in met betrekking tot de behandeling van de patiënt (BW 7:445) Vernietiging: De hulpverlener vernietigt de door hem bewaarde bescheiden, binnen drie maanden na een daartoe strekkend verzoek van de patiënt. [..] (BW 7:455) Inzagerecht: De hulpverlener verstrekt aan de patiënt desgevraagd zo spoedig mogelijk inzage in en afschrift van de bescheiden (BW 7:456) De hulpverlener mag de patiënt [informatie] slechts onthouden voor zover het verstrekken ervan kennelijk ernstig nadeel voor de patiënt zou opleveren (BW 7:448 lid 3) Toestemming informatieoverdracht: De hulpverlener draagt zorg, dat aan anderen dan de patiënt geen [informatie] wordt verstrekt dan met toestemming van de patiënt. Niet inbegrepen zijn degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. (BW 7:457, 7:459)

Wcz – Wet Clientrechten in de Zorg De Wcz Definieert het concept “behandelrelatie” Regelt de elektronische uitwisseling van medische gegevens tussen zorgverleners (binnen Nederland). Toestemming voor uitwisseling: Een van de kernpunten van de Wcz is (Wcz, Art. 15a lid 1) “De zorgaanbieder [vanaf juli 2017] stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem, voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven.” Gespecifieerde Toestemming: Vanaf 2020 kan de cliënt bovendien aangeven welke gegevens wel of niet door welke (categorieën van) zorgverleners mogen worden ingezien. Voor alle duidelijkheid: het gaat altijd uitsluitend om zorgverleners waarmee de cliënt (dan) een behandelrelatie heeft.

Format (interoperability standards) Samengevat: Impact van de GDPR/AVG en de WcZ GDPR / AVG Any processing or use of personal data GDPR Data Access Right Electronic Form (e.g. PDF) Machine Readable Format (interoperability standards) GDPR / AVG Any Processing or exchange of data which requires consent, e.g. Data exchanges (Wcz !!) Re-use of data for a different purpose than the original one when capturing data GDPR Data Portability Right API (e.g. FHIR, DICOM, CDA) Labelling, Provenance, Applicable content, Retention policy, auditing Data Exchange www.ringholm.com

on healthcare data interoperability The impact of the GDPR on healthcare data interoperability impact op standards: FHIR/XDS René Spronk, Lead tutor, Ringholm

Access Control System Legal Expression Healthcare provider directory Care relationship registry Policy Information Point Policy Registry Policy Patient Friendly Expression Processable Expression Attributes Id Role Context function Patient Id care- relationship on behalf of break glass …. Attributes Type author Specialty Security Tags (Confidentiality,Sensitivity, Integrity, Compartment, Handling Caveats) Patient Id …. Requester Policy Decision Point Document/ Resource Security Labeling Service Authentication Provider Policy terms: XACML, Authentication: SAML. Oauth Security Labeling: HCS Assertion Provider

Vastleggen toestemmingen Vastleggen gespecificeerde consent voor data uitwisseling (Wcz, AVG) Vastleggen consent indien gegevens gebruikt worden voor een andere verwerkingsgrond (purpose of use) dan die waarvoor zij oorspronkelijk opgeslagen zijn (AVG) Het GTS Project (Gespecificeerde Toestemmingen Structureel) heeft als doel de patiënttoestemmingen (zoals geregeld in de wet Wzc) op nationaal niveau in een elektronisch register vast te leggen. Gebruikt de XACML 3.0 standaard Echter: toestemmingen met lokale/regionale scope NIET in GTS op te nemen.

GTS = Gespecificeerde Toestemmingen Structureel National Policy Decision Point Healthcare Provider Registry Policy Information Point National Policy Registry Healthcare Organization Registry GTS (nationaal) Care Context Manager Policy Information Point National Policy Enforcement Point Local Policy Registry Citizen Registry Local Policy Decision Point Security Labeling System Client Local Policy Enforcement Point Server Regional access control policy domain

Security Labeling Service (SLS) The SLS classifies data elements according to various security classification systems before labeling the information for proper enforcement of fine-grained access controls. Methods: processes structured data elements of a document or data stream, and processes unstructured, narrative or freeform data through a Natural Language Processing (NLP) engine. Most labels assigned at run-time, given that labelling policies may change over time Exception: clinical facts; labels/metadata derived from the clinical contents of a data element

HCS Security Labels (HL7 Healthcare Privacy and Security Classification System) Formal agreement needs to exist between organisations to ensure proper handling of security labels, e.g. to require storage of security labels Four resource label fields, which are security attributes about clinical facts Confidentiality Sensitivity Integrity and, Compartment A security policy-based label (privacy mark) for handling caveat to convey Purpose of Use, Obligations, and Refrain Policies to which custodians and recipients of clinical facts must comply. Handling Caveat

Security Labels (1/3) Confidentiality Sensitivity Classifying an IT resource according to its level of sensitivity, which is based on an analysis of applicable privacy policies and the risk of financial, reputational, or other harm to an individual that could result from unauthorized disclosure. Users each have a “Clearance level” Examples: Unrestricted, Normal, Restricted, Very restricted. Sensitivity Security label metadata categorizing the value, importance, and vulnerability of an IT resource perceived as undesirable to share. Categories of data which may require special protection. Examples: HIV sensitive information, VIP, Substance abuse, mental health.

Security Labels (2/3) Integrity Compartment Security label metadata conveying the completeness, veracity, reliability, trustworthiness, and provenance of an IT resource. Note: provenance could be a label, or a separate data structure in case one needs to capture more detailed information Examples: unreliable, reliable, highly reliable Compartment Security label metadata that "segments" an IT resource by indicating that access and use is restricted to members of a defined community or project. Examples: care team, psychiatry department, records management, pharmacists.

Security Labels (3/3) Privacy Law Handling caveats Security metadata conveying the identification of the applicable privacy law or privacy policies Examples: GDPR (Art.6), GDPR-sensitive-data (Art.9) Handling caveats Security label metadata conveying dissemination controls, information handling caveats, purpose of use, refrain policies, and obligations to which an IT resource custodian or receiver must comply. Examples: Purpose of use: treatment, payment, public health, research Obligations: encrypt, mask, redact, comply with consent directive GDPR Article 9 (sensitive data, special set of obligations) Refrain: do not disclose without consent

GDPR and Security Labels (examples) Sensitivity: gdpr, gdpr-sensitive-data (Art.9) Obligations: gdpr-sensitive-data-handling (Art.9) Privacy Law: capture the legal ground for processing (art. 6/art.9) Handling caveats/purpose of use: Purpose of Use [linked to legal ground/consent] Integrity/Provenance: data-provided-by-patient [SO or otherwise] Handling caveats/obligation: subject-to-portability-rights, other obligations which result from consents

Provenance Where did this data come from? If “Patient” -> data portability right applies What were the original security tags If this data is a copy of data received from elsewhere If the data was originally subject to portability right (which is ‘sticky’) What the original ‘legal ground for processing’ is (which can’t be changed, one can seek consent and add that as another legal ground for processing) Provenance relations defined by W3C: was attributed to, was derived from, was generated by, was informed by, was influenced by, had primary source, was invalidated by, was quoted from, was revision of

Corrections, Deletions Right of erasure/correction: data source SHALL request erasure/correction of all systems it has communicated a data element to Effectively a cascading/recursive operation, if A did sent the data to B, and B to C, then A will send a request to B, and B will have to sent a request to C Based on data captured in the audit record

Revisit: Data Access Right (GDPR Art.15) access to the personal data and the following information (amongst other things): the purposes of the processing (legal ground for processing, Art.6/Art.9); Security label (purpose of use) the categories of personal data concerned; At least at the granularity of Art.9, probably more refined than that the recipients or categories of recipient to whom the personal data have been or will be disclosed, Audit logs would have to answer this question where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; Retention rules (procedural), will require labels to override standard retention rules in case of litigation etc. Standard ECM procedures. where the personal data are not collected from the data subject, any available information as to their source. Provenance

Revisit: Data Portability Right (GDPR Art.20) Allows individuals to obtain and reuse their personal data for their own purposes across different services Scope: Electronic Data, “provided by” the patient (Security Label: Integrity/Provenance = data-provided-by-patient), AND “where explict consent by the patient has been given or where processing is based on a contract” (Security label: (privacy law, purpose of use)) Only SO, not AP data (in terms of the SOAP model). This includes all diagnostic images. (security label: Handling caveats/obligation = subject-to-portability-rights) API, structured data, apply industry standards which ease the upload and interpretation of data to a third party. NL: SO data, (a) voor alle verwerkingen waar de patient toestemming heeft gegeven, of (b) alle data die door de patient ter beschikking zijn gesteld (de zelfmetingen, upload van gegevens die via data portability verkregen zijn)

Data Aggregation Issues Should data Which is subject to consent, provenance, auditing, subject labels .. be combined into an aggregate structure .. e.g. a CDA document, or any FHIR Bundle .. the appropriate ‘creation/merging’ of access control information at the aggregate level will have to be done. whilst maintaining the access control data which was available at the non- aggregate level.

IHE XDS / Aanbevelingen Consent: APPC / XACML voor gespecificeerde toestemmingen Toestemming kan een kopie zijn van een door een andere organisatie verkregen toestemming Right of erasure/correction: precies bijhouden wie ooit een kopie van gegevens verkregen heeft, op basis van ATNA Audit Log XDS biedt hier geen oplossing voor Stuur AVG-verwerkingsdoel (purpose of use, security label) mee met gegevens, ontvanger mag de gegevens alleen gebruiken voor dat specifieke doel Beelden in XDS-I zijn per definitie gestructureerd opvraagbaar op grond van een combinatie van de Wcz/AVG Provenance: XDS metadata, Privacy label in XDS metadata, SubmissionSet (XDS.b), DocumentManifest (MHD)

Ziekenhuis A XDS/XDS-I Regio Ziekenhuis B Toestemmingen (nationaal) Data Ziekenhuis A XDS/XDS-I Regio Ziekenhuis B Data Toestemmingen Toestemmingen Toestemmingen Data Access Right Data Portability Right Data Access Right Data Access Right Data Data Toestemming Toestemming Erasure/ Correction Rights Labels Labels Provenance Provenance Provenance

FHIR / Aanbevelingen Consent resource of XACML voor gespecificeerde toestemmingen XACML policies kunnen worden afgebeeld op FHIR Consent resources, of op Contract (van type Consent directive). XACML zelf als attachment bij deze resources. Right of erasure/correction: precies bijhouden wie ooit een kopie van gegevens verkregen heeft, op basis van AuditEvent resources Custom FHIR operations (te ontwikkelen) Stuur AVG-verwerkingsdoel (purpose of use, security label) mee met gegevens, ontvanger mag de gegevens alleen gebruiken voor dat specifieke doel Provenance: FHIR resource.

Issues VIPP, MedMij, GTS baseren zich geen van allen op de AVG GTS – toestemmingen: goede oplossing, echter 2 jaar te laat. Geen support voor AVG data portabiliteit in MedMij/VIPP, wat gezien de eis voor consent in de Wcz wel verplicht is MedMij/VIPP beperken zich niet tot SO-gegevens (wat goed is), maar omvatten niet tenminste alle SO gegevens die uitgewisseld worden. Beide projecten voldoen NIET aan de GDPR.

Vervolgstappen In je eigen organisatie Qua standaardisatie Ga na in hoeverre de organisatie zich bewust is van de benodigde technische veranderingen (behalve dan de organisatorisch/juridische veranderingen waarvan men zich veelal wel bewust is) Qua standaardisatie Ontwikkel labeling-regels voor SLS systemen HL7 Europa Nieuwe set security labels. Uitwerking van eisen t.a.v. Provenance, AuditEvent, Contract. Nieuwe operations voor correction/erasure. Harmonisatie Purpose of Use codes met AVG verwerkingsgronden. Afspraken rond verwerking/opslag security labels uitwerken. IHE Nieuwe set security labels. EU Extension voor erasure/correction. Provenance als document (?) Nederlandse infrastructuur Exacte functionaliteit GTS vooralsnog onduidelijk.

“Treat something you borrow as if you own it” The impact of the GDPR on healthcare data interoperability