Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Wet aanvullende bepalingen verwerking persoonsgegevens zorg Per 1 juli 2017 in werking Drie bepalingen later in werking Eén bepaling treedt niet in werking
Verwerking persoonsgegevens zorg Gespecificeerde toestemming Uitdrukkelijke toestemming raadplegen Recht op informatie Recht op elektronische inzage & afschrift Geen toegang zorgverzekeraars en bedrijfsartsen
Wat verandert er voor de zorg? Gespecificeerde toestemming voor beschikbaarstelling elektronisch verwerkingssysteem Nader uitgewerkt informatierecht Recht op elektronische inzage en afschrift (inclusief logging) Mogelijkheid ontzetting beroep bij veroordeling computervredebreuk of geheimhoudingsplicht NEN 7510, 7512 en 7513 wettelijk verplicht Aparte bewaartermijn logginggegevens
Beveiliging
Functionaris gegevensbescherming Soms verplicht Intern toezichthouder Zonder last of ruggespraak Samenwerking met externe toezichthouder en ‘contactpunt’ In Nederland binnenkort verplicht voor zorginstellingen Vanaf 25 mei 2018 ook voor CIZ
Verwerkersovereenkomsten Verantwoordelijke blijft verantwoordelijk! Schriftelijke overeenkomst nodig AP stelt eisen aan overeenkomst; controle houden!
Eisen aan overeenkomst (1) Voldoende organisatorische en technische beveiliging Toestemming voor subverwerkers Onderwerp, duur, aard en doel verwerking, soort persoonsgegevens en categorieën van betrokkenen Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies Geheimhouding
Eisen aan overeenkomst (2) Bijstand verlenen bij vervullen verplichtingen verwerkingsverantwoordelijke jegens betrokkene Melding incidenten Controlemogelijkheden beveiliging Aansprakelijkheid? Wat te doen met gegevens na afloop overeenkomst?
Oók verwerkingsverantwoordelijkenovereenkomsten Regelen: Juridisch verantwoordelijke, Ieder voor zich, of allemaal verantwoordelijk? Gezamenlijk doel en middelen bepalen, maar hoe? Wie is waarvoor verantwoordelijk? Hoe relatie met betrokkene geregeld? Hoofdelijke aansprakelijkheid ook wat betreft rechten betrokkene
Nooitgedacht Zorgverzekeraar Zekere Zorg heeft met Zorggroep nooitgedacht, een samenwerkingsverband, oorspronkelijk opgericht door huisartsen in de regio, een overeenkomst gesloten voor het verlenen van multidiscplinaire zorg aan diabetespatiënten. Voorwaarde daarbij is dat Nooitgedacht moet deelnemen aan een landelijke benchmark, om de kwaliteit van de zorg te meten. Wat moet Nooitgedacht allemaal afspreken met samenwerkingspartners bij het verlenen van zorg? Wat moet Nooitgedacht afspreken met een leverancier van het ketenzorginformatiesysteem?
Beveiligingsvoorschriften Passende en organisatorische maatregelen Parameters: techniek, kosten, type verwerkingen, en risico’s
Beveiliging is ook Pseudonimisering en versleuteling, waar passend Garantie vertrouwelijkheid en betrouwbaarheid Herstelmogelijkheden Procedure voor testen, beoordelen en evalueren beveiliging Aansluiten bij gedragscode of certificeringsmechanisme
Beveiliging Artikel 13 Wbp/artikel 32 Avg ISO 27001 en ISO 27002 BIR NEN 7510 NEN 7512 NEN 7513
Gegevensbeschermingseffectbeoordeling (PIA) Al verplicht voor overheidsinstanties nieuwe wetgeving Nieuwe technologieën Grote databestanden Artikel 35 schrijft voor wanneer AP moet lijst publiceren
Datalek in Avg Inbreuk op de beveiliging Per ongeluk of expres vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang Melden, tenzij geen risico
Logging uit hacker verlies USB brand telefoon malwarebesmetting Wat is een datalek? Delen wachtwoord Logging uit Computer USB verlies hacker brand telefoon malwarebesmetting
Het USB-incident Janine doet indicaties voor het CIZ op locatie. Omdat zij vaak vanuit huis werkt en bovendien in een buitengebied woont met een hele slechte internetverbinding, schrijft zij relevante gegevens op een usb-stick die zij vervolgens mee naar haar werk neemt om te kunnen verwerken ten behoeve van het definitieve indicatiebesluit. Op zekere dag valt de USB-stick in de toilet. Moet er gemeld worden? Als een kopie beschikbaar is? De USB-stick encrypted is? Alleen NAW-gegevens opstaan?
Wanneer meldplicht? Meldingsplicht bij datalek (melden bij AP): inbreuken op de beveiliging (beveiligingsincident), Wbp: met (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Avg: melden, tenzij niet waarschijnlijk dat er risico is voor rechten en vrijheden van natuurlijke personen Lek van bijzondere persoonsgegevens (zoals gezondheidsgegevens) altijd melden Wanneer meldplicht?
72 Hoe melden? Melding aan AP: Eventueel melding aan betrokkene Wat is er aan de hand? Waarschijnlijke gevolgen Naam FG Maatregelen Waar meer informatie verkrijgbaar? Stapsgewijze infoverstrekking is toegestaan Eventueel melding aan betrokkene 72 Wat is rol FG?
10 mijoen 20 miljoen Sancties Avg Aanwijzing, Waarschuwing, Berisping Opleggen boete 20 miljoen
Dirkzwager zorgt dat u het weet. Jurisprudentie Actuele kennis van wet- en regelgeving mr. dr. L.A.P. (Luuk) Arends E-mail: arends@dirkzwager.nl Telefoon 024- 381 31 28 Jurisprudentie Dirkzwager zorgt dat u het weet. Kantoor Arnhem Postbus 111 6800 AC Arnhem Velperweg 1 6824 BZ Arnhem Kantoor Nijmegen Postbus 55 6500 AB Nijmegen Van Schaeck Mathonsingel 4 6512 AN Nijmegen T +31 (0)88 24 24 100 F +31 (0)88 24 24 111 E info@dirkzwager.nl I www.dirkzwager.nl