Nils Broeckx Advocaat Dewallens & partners

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Medisch beroepsgeheim onder druk: trend of toeval?
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
HOREN ZIEN EN SCHRIJVEN
Beroepsgeheim van de tandarts
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
“Privacy in relatie tot Passend Onderwijs en de Transitie Jeugdzorg”
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Privacy en gegevensbescherming voor de Ondernemingsraad van AZ
Gij zult openbaren: privacy en de open overheid
Datacenter versus Cloud
28 september 2017.
ALGEMENE VERORDENING GEGEVENSBESCHERMING VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Gebruikersbijeenkomst data.overheid.nl
Privacy binnen de Drechtsteden
Stichting van de Arbeid
Het nieuwe Europese raamwerk “bescherming persoonsgegevens” in Europa en België/Vlaanderen… Willem Debeuckelaere De Privacyproef – deJuristen Gent 1 juni.
GDPR General Data Protection Regulation
Autoriteit Persoonsgegevens Toezicht onder de AVG
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
De algemene verordening gegevensverwerking AVG
De Algemene Verordening Gegevensbescherming
Privacy in wetgeving: wat mag wel en wat mag niet
GDPR online GDPR sessie
College Privacy & Gegevensbescherming
Presentatie ‘Privacy & CRM’
Algemene Verordening Gegevensbescherming youtube
Mw. mr. S. (Sanne) Kleerebezem
De Algemene Verordening Gegevensbescherming
Algemene verordening gegevensbescherming
GDPR Online Dataregister & Data Subject dashboard
Hergebruik van overheidsinformatie
Algemene Verordening Gegegevensbescherming (AVG)
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Testimonial Kruispuntbank Sociale Zekerheid
De Algemene Verordening Gegevensbescherming
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
GDPR/AVG General Data Protection Regulation /
De nieuwe privacyverordening
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
De GDPR en journalistiek
GDPR & niet-journalistieke doeleinden
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Handleiding VVLE template verwerkingsregister
De GDPR en journalistiek
Privacy en bescherming persoonsgegevens 2018
AVG Crowe Horwath Peak 31 mei 2018 Geert-Jan Krol / IT Advisory
GDPR.
Wim Van Holder.
AVG - Verenigingen Temse – 20/06/2018
DE AVG EN DE RECHTEN VAN DE BETROKKENE - RECHT VAN TOEGANG
het Naoberhuis Algemene Verordening Gegevensbescherming
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

Verwerking en beheer van verzamelde geneeskundige gegevens & de finaliteit Nils Broeckx Advocaat Dewallens & partners Deeltijds docent UA (AHLEC & ALLIC) Jurist Ethisch Comité AZ Klina Symposium Provinciale Raad van Antwerpen 30 maart 2019

GDPR GDPR versus Beroepsgeheim = General Data Protection Regulation (GDPR) = Algemene Verordening Gegevensbescherming (AVG) = Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens = Opvolger van de Wet van 8 December 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens GDPR versus Beroepsgeheim Het belang van finaliteit en proportionaliteit Organisatorische aandachtspunten

GDPR versus Beroepsgeheim

Beperkter én ruimer Beroepsgeheim GDPR Alle geheimen Enkel persoonsgegevens van levende personen Doorgifte Doorgifte en iedere andere verwerking (incl. bewaring en vernietiging) Mag de doorgifte? Mag de verwerking en hoe? GDPR is een wet die opheffing van de zwijgplicht kan toelaten

Het belang van finaliteit & proportionaliteit

GDPR-vereisten Transparantie Rechtmatigheid Doelbinding Art. 27 Code van Medische Deontologie Transparantie Rechtmatigheid Doelbinding Minimale verwerking Juistheid Opslagbeperking Verwerkingsverantwoordelijke moet naleven en moet naleving kunnen aantonen (verantwoordingsprincipe) Veiligheid

Toestemming is niet de enige rechtmatigheidsgrond Rechtmatigheidsgronden voorverwerking gewone gegevens (art. 6 GDPR) Toestemming voor specifiek doel Nodig voor uitvoering van overeenkomst Nodig voor wettelijke verplichting van verantwoordelijke Nodig voor vitale belangen van betrokkene Nodig voor taak van algemeen belang Nodig voor gerechtvaardigde belangen van verantwoordelijke Bijkomende rechtmatigheidsgronden voor verwerking gevoelige gegevens (art. 9 GDPR) Uitdrukkelijke toestemming voor specifiek doel Nodig voor sociaalrechtelijke verplichting/rechten (arbeidsrecht en sociale zekerheidsrecht) Nodig voor vitale belangen van onbekwame betrokkene Nodig voor ledenbeheer van bepaalde VZW’s Openbaar gemaakt door de betrokkene Nodig in kader van rechtsvordering Nodig in algemeen belang op basis van wetsbepaling Nodig voor beoordelen arbeidsgeschiktheid of (beheer van) gezondheidszorg of sociale diensten Nodig voor volksgezondheid op basis van wetsbepaling Nodig voor wetenschappelijk, historisch of statistisch onderzoek mits passende waarborgen Geen toestemming Geen toestemming

Maar… Verwerking in kader van therapeutische relatie Binnenkort wel toestemming voor toegang tot het PD door de Kwaliteitswet? Maar… Verwerking in kader van therapeutische relatie Verwerking in kader van verzekeringsdoeleinden Verwerking in kader van wetenschappelijk onderzoek Enkel indien noodzakelijk (maar veel kan noodzakelijk zijn) Wel steeds toestemming voor de zorg in se (art. 8 Wet Patiëntenrechten) Ziekteverzekering en arbeidsrecht: zonder toestemming indien noodzakelijk (strikter dan voor zorgverstrekking) Private en andere verzekeringen: toestemming en noodzakelijkheid (art. 61 Verzekeringswet) Enkel indien noodzakelijk voor het onderzoek in kwestie Enkel indien “passende maatregelen” (bv. pseudonimisering) Wel steeds toestemming voor het experiment in se (art. 6 Wet Experimenten)

Organisatorische aandachtspunten

Organisatie? Onderlinge afspraken Transparantie Veiligheid 1 2 3

Onderlinge afspraken 1 Bewerker Verwerker/processor De verwerkingsverantwoordelijke/controller is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” Degene die de essentiële verwerkingsbeslissingen maakt, draagt de GDPR-verantwoordelijkheid Bewerker “(…) de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken” Verwerker/processor “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”

Onderlinge afspraken Bewerker Elke verwerkingsverantwoordelijke die bij verwerking betrokken is, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die GDPR schendt  samen voor gehele schade aanspreekbaar, ongeacht onderlinge regeling, maar wel (beperkt) onderling verhaalsrecht Onderlinge regeling (art. 26 GDPR) Instructies (via gegevensbeschermingsbeleid) Bewerker geen rechtstreekse GDPR- aansprakelijkheid mogelijk wel aansprakelijk op andere gronden Verwerkersovereenkomst (art. 28 GDPR) Verwerker/processor Rechtstreekse GDPR- aansprakelijkheid voor verwerkersverplichtingen Samen met verwerkings- verantwoordelijken en/of andere verwerkers aanspreekbaar, ongeacht overeenkomst, maar wel (beperkt) onderling verhaalsrecht

Opnieuw bekijken per finaliteit Sponsor Experiment = controller Ziekenhuis = controller voor zorg, mogelijk processor voor andere doeleinden Studiedata Privépraktijk = controller Personeel ziekenhuispersoneel Stagiair = controller voor onderwijs Overdracht tussen separate controllers Ziekenfonds Beheerder Gedeeld platform ZF ZH PP Joint controllers (zelfstandige) ZH-artsen ZH-artsen = joint controllers of bewerkers Processor … App-leverancier Processor = EPD-leverancier stageverslag Onderwijsinstelling = controller voor onderwijs = controller bij verdere verwerking voor eigen doeleinden

Layered Privacy Policy 2 Layered Privacy Policy Basisinformatie Aanvullende informatie Naam + contactgegevens verwerkingsverantwoordelijke (Criteria van) de bewaartermijn Contactgegevens DPO Rechten van de betrokkene Verwerkingsdoel + rechtmatigheidsgrond Recht op intrekken van toestemming Gerechtvaardigde belangen (art. 6, lid 1, f GDPR) Klachtrecht bij GBA (Categorieën van) ontvangers Nood aan verstrekking van persoonsgegevens + gevolgen van niet-verstrekking Doorgifte aan landen buiten EU en/of internationale organisatie Bestaan/logica/gevolgen van geautomatiseerde besluitvorming Indien persoonsgegevens niet rechtstreeks van de betrokkenen verkregen Categorieën van persoonsgegevens Bron van persoonsgegevens + uitzonderingen art. 14, lid 5 GDPR

“Passende” veiligheidsmaatregelen 3 “Passende” veiligheidsmaatregelen Passend veiligheidsniveau Aard, context, omvang, doel Uitvoerings-kost Stand van de techniek Risico’s Data Protection Impact Assessment Enkel bij hoge risico’s Genormeerde risicoanalyse Personal data breach Interne registratie Soms notificatie GBA Soms notificatie betrokkene

Samenvatting

SAMENVATTING De uitdrukkelijke toestemming is niet steeds vereist voor elke verwerkingsfinaliteit Beoordeling van proportionaliteit is cruciaal Verwerking en beheer van gezondheidsgegevens vereist goede voorbereiding en omkadering