Verwerking en beheer van verzamelde geneeskundige gegevens & de finaliteit Nils Broeckx Advocaat Dewallens & partners Deeltijds docent UA (AHLEC & ALLIC) Jurist Ethisch Comité AZ Klina Symposium Provinciale Raad van Antwerpen 30 maart 2019

GDPR GDPR versus Beroepsgeheim = General Data Protection Regulation (GDPR) = Algemene Verordening Gegevensbescherming (AVG) = Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens = Opvolger van de Wet van 8 December 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens GDPR versus Beroepsgeheim Het belang van finaliteit en proportionaliteit Organisatorische aandachtspunten

GDPR versus Beroepsgeheim

Beperkter én ruimer Beroepsgeheim GDPR Alle geheimen Enkel persoonsgegevens van levende personen Doorgifte Doorgifte en iedere andere verwerking (incl. bewaring en vernietiging) Mag de doorgifte? Mag de verwerking en hoe? GDPR is een wet die opheffing van de zwijgplicht kan toelaten

Het belang van finaliteit & proportionaliteit

GDPR-vereisten Transparantie Rechtmatigheid Doelbinding Art. 27 Code van Medische Deontologie Transparantie Rechtmatigheid Doelbinding Minimale verwerking Juistheid Opslagbeperking Verwerkingsverantwoordelijke moet naleven en moet naleving kunnen aantonen (verantwoordingsprincipe) Veiligheid

Toestemming is niet de enige rechtmatigheidsgrond Rechtmatigheidsgronden voorverwerking gewone gegevens (art. 6 GDPR) Toestemming voor specifiek doel Nodig voor uitvoering van overeenkomst Nodig voor wettelijke verplichting van verantwoordelijke Nodig voor vitale belangen van betrokkene Nodig voor taak van algemeen belang Nodig voor gerechtvaardigde belangen van verantwoordelijke Bijkomende rechtmatigheidsgronden voor verwerking gevoelige gegevens (art. 9 GDPR) Uitdrukkelijke toestemming voor specifiek doel Nodig voor sociaalrechtelijke verplichting/rechten (arbeidsrecht en sociale zekerheidsrecht) Nodig voor vitale belangen van onbekwame betrokkene Nodig voor ledenbeheer van bepaalde VZW’s Openbaar gemaakt door de betrokkene Nodig in kader van rechtsvordering Nodig in algemeen belang op basis van wetsbepaling Nodig voor beoordelen arbeidsgeschiktheid of (beheer van) gezondheidszorg of sociale diensten Nodig voor volksgezondheid op basis van wetsbepaling Nodig voor wetenschappelijk, historisch of statistisch onderzoek mits passende waarborgen Geen toestemming Geen toestemming

Maar… Verwerking in kader van therapeutische relatie Binnenkort wel toestemming voor toegang tot het PD door de Kwaliteitswet? Maar… Verwerking in kader van therapeutische relatie Verwerking in kader van verzekeringsdoeleinden Verwerking in kader van wetenschappelijk onderzoek Enkel indien noodzakelijk (maar veel kan noodzakelijk zijn) Wel steeds toestemming voor de zorg in se (art. 8 Wet Patiëntenrechten) Ziekteverzekering en arbeidsrecht: zonder toestemming indien noodzakelijk (strikter dan voor zorgverstrekking) Private en andere verzekeringen: toestemming en noodzakelijkheid (art. 61 Verzekeringswet) Enkel indien noodzakelijk voor het onderzoek in kwestie Enkel indien “passende maatregelen” (bv. pseudonimisering) Wel steeds toestemming voor het experiment in se (art. 6 Wet Experimenten)

Organisatorische aandachtspunten

Organisatie? Onderlinge afspraken Transparantie Veiligheid 1 2 3

Onderlinge afspraken 1 Bewerker Verwerker/processor De verwerkingsverantwoordelijke/controller is “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt” Degene die de essentiële verwerkingsbeslissingen maakt, draagt de GDPR-verantwoordelijkheid Bewerker “(…) de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken” Verwerker/processor “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt”

Onderlinge afspraken Bewerker Elke verwerkingsverantwoordelijke die bij verwerking betrokken is, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die GDPR schendt  samen voor gehele schade aanspreekbaar, ongeacht onderlinge regeling, maar wel (beperkt) onderling verhaalsrecht Onderlinge regeling (art. 26 GDPR) Instructies (via gegevensbeschermingsbeleid) Bewerker geen rechtstreekse GDPR- aansprakelijkheid mogelijk wel aansprakelijk op andere gronden Verwerkersovereenkomst (art. 28 GDPR) Verwerker/processor Rechtstreekse GDPR- aansprakelijkheid voor verwerkersverplichtingen Samen met verwerkings- verantwoordelijken en/of andere verwerkers aanspreekbaar, ongeacht overeenkomst, maar wel (beperkt) onderling verhaalsrecht

Opnieuw bekijken per finaliteit Sponsor Experiment = controller Ziekenhuis = controller voor zorg, mogelijk processor voor andere doeleinden Studiedata Privépraktijk = controller Personeel ziekenhuispersoneel Stagiair = controller voor onderwijs Overdracht tussen separate controllers Ziekenfonds Beheerder Gedeeld platform ZF ZH PP Joint controllers (zelfstandige) ZH-artsen ZH-artsen = joint controllers of bewerkers Processor … App-leverancier Processor = EPD-leverancier stageverslag Onderwijsinstelling = controller voor onderwijs = controller bij verdere verwerking voor eigen doeleinden

Layered Privacy Policy 2 Layered Privacy Policy Basisinformatie Aanvullende informatie Naam + contactgegevens verwerkingsverantwoordelijke (Criteria van) de bewaartermijn Contactgegevens DPO Rechten van de betrokkene Verwerkingsdoel + rechtmatigheidsgrond Recht op intrekken van toestemming Gerechtvaardigde belangen (art. 6, lid 1, f GDPR) Klachtrecht bij GBA (Categorieën van) ontvangers Nood aan verstrekking van persoonsgegevens + gevolgen van niet-verstrekking Doorgifte aan landen buiten EU en/of internationale organisatie Bestaan/logica/gevolgen van geautomatiseerde besluitvorming Indien persoonsgegevens niet rechtstreeks van de betrokkenen verkregen Categorieën van persoonsgegevens Bron van persoonsgegevens + uitzonderingen art. 14, lid 5 GDPR

“Passende” veiligheidsmaatregelen 3 “Passende” veiligheidsmaatregelen Passend veiligheidsniveau Aard, context, omvang, doel Uitvoerings-kost Stand van de techniek Risico’s Data Protection Impact Assessment Enkel bij hoge risico’s Genormeerde risicoanalyse Personal data breach Interne registratie Soms notificatie GBA Soms notificatie betrokkene

Samenvatting

SAMENVATTING De uitdrukkelijke toestemming is niet steeds vereist voor elke verwerkingsfinaliteit Beoordeling van proportionaliteit is cruciaal Verwerking en beheer van gezondheidsgegevens vereist goede voorbereiding en omkadering