PRIVACY IN DE GEZONDHEIDSZORG

Slides:



Advertisements
Verwante presentaties
Privacywetgeving - toegang tot het schooldossier
Advertisements

Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Introductie: privacywet
Toepassing van de privacywet en andere reglementering bij het gebruik van adresinformatie Katleen Janssen ICRI – K.U.Leuven.
Medisch beroepsgeheim onder druk: trend of toeval?
Schade-expertisebureaus en de Wet bescherming persoonsgegevens
Juridische aspecten van eHealth Startconferentie INPREZE 25 juni 2013 mr. dr. Anton Ekker.
Wie beschermt onze privacy?
De juridische kant Hoe zit de uitwisseling van patiëntgegevens juridisch in elkaar; wat mag er wel en wat mag niet? Eric Schreuders Net2Legal Consultants.
Informatiebeveiliging
Privacy en ledenadministratie
Aan deze presentatie kunnen geen rechten worden ontleend Gegevensbescherming CQI-metingen 16 september 2010 CKZ mr Alexander J.J.T. Singewald © Singewald.
De eerste 10 Nederlandse grondrechten (bron: Schooltv)
Gastcollege Utrecht 17 oktober 2013 Thomas van Essen Spam & social media.
Testdata Management Ketentest
Samenwerken aan Zorg en Veiligheid Naar een nieuw juridisch kader Drs. P.J. Gunst Projectleider.
Ronde (Sport & Spel) Quiz Night !
Vraag 1) juist/onjuist. De plichten van de patiënt:
User management voor ondernemingen en organisaties
‘PRIVACY IN DE KETEN’ Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem.
HOREN ZIEN EN SCHRIJVEN
De financiële functie: Integrale bedrijfsanalyse©
Spam & Social media Thomas van Essen Gastcollege Utrecht 7 oktober 2014.
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
Het recht om vergeten te worden Marens Engelhard Charles Jeurgens.
DE ARBOWET In deze presentatie zal worden ingegaan op de hoofdlijnen van de Arbeidsomstandighedenwet (Arbowet), zoals deze er uit ziet na de wijziging.
Mr J.J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
Open data en Wet hergebruik overheidsinformatie Utrecht 29 oktober 2015 Tjeerd Schiphof /
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
1Het begint met een idee DE BEWERKERSOVEREENKOMST: NUT EN NOODZAAK.
Privacy en gegevensbescherming voor de Ondernemingsraad van AZ
Gij zult openbaren: privacy en de open overheid
Meld plicht Datalekken
28 september 2017.
Vraag en antwoord Datum: 28 september 2017.
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Stichting van de Arbeid
De Algemene Verordening Gegevensbescherming
Privacy en bescherming persoonsgegevens 2018 mr. Jan van Gool
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
In 7 stappen uw organisatie klaar voor AVG
Privacy in wetgeving: wat mag wel en wat mag niet
Hergebruik van overheidsinformatie
Privacy en Leerplicht/RMC
Wet op de gegevensbescherming
Mr. I.W. van Osch 360|Advocaten
Privacy in het Caribisch deel van het Nederlandse Koninkrijk
Privacy: Over de grenzen van big data verzamelen, gebruiken en delen bij fraude en criminaliteitsbestrijding. En de gevolgen van de nieuwe AVG Bart van.
Volmacht data goud waard: De grenzen aan het gebruik van persoonsgegevens Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT)
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
Anti-Doping & Data Protection
Privacy Wat moet je weten van de nieuwe privacyverordening
Gemeente Katwijk. Annerine Blufpand Periklesinstituut
Privacy en bescherming persoonsgegevens 2018
Taak 6 Hoofdstuk 13 Inleiding in de gezondheidszorg
Taak 6 Hoofdstuk 13 Inleiding in de gezondheidszorg
Nils Broeckx Advocaat Dewallens & partners
Taak 6 Hoofdstuk 13 Inleiding in de gezondheidszorg
IBP en AVG, wat moet wij er op school mee?
Passende technische en organisatorische beveiliging:
Transcript van de presentatie:

PRIVACY IN DE GEZONDHEIDSZORG 19 maart 2014 Sofie van der Meulen www.axonlawyers.com

Agenda Privacy Privacy in Nederland: de Wet bescherming persoonsgegevens in de gezondheidszorg Big data, apps & privacy Aankomende wijzigingen vanuit de EU Privacy Verordening Afsluiting

Wat is privacy? Lichamelijke privacy Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam. Relationele privacy Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim. Ruimtelijke privacy Artikel 12 Grondwet: het binnentreden van een woning. Informationele privacy Artikel 8 Handvest van de Grondrechten van de Europese Unie: ‘1.   Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2.   Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.’

Artikel 10 Grondwet Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Privacy in het middelpunt van de belangstelling Artikel Guardian over het uploaden patiëntgegevens naar Google De NSA kijkt met u mee AIVD deelde data telefoonverkeer met VS

Assange & Snowden Edward Snowden lekte in juni 2013 informatie over spionageactiviteiten door de NSA. NSA gebruikt het programma PRISM voor het in de gaten houden van wereldwijde online communicatie. TED talk Edward Snowden: http://goo.gl/Z5gbEZ Julian Assange richtte in 2006 klokkenluiderswebsite WikiLeaks op. Via deze website kunnen officiële documenten gelekt worden.

Bradley E. Manning

Privacy Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland geïmplementeerd in: De Wet bescherming persoonsgegevens (WBP) De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld. Op Europees niveau wordt nu gewerkt aan een Privacy verordening. Samensmelting food & farma, zie bv. website Danone: “bringing health through food”.

Privacy – OECD principles in de Wbp Limitering van het verzamelen van gegevens (niet meer dan nodig). Gegevenskwaliteit gegevens moeten relevant zijn voor het doel (artikel 11 Wbp). Doelbinding. Doel van het verzamelen van gegevens moet vooraf aan verzamelen vastgesteld worden. Tijdens verzamelen mag niet van het doel afgeweken worden (artikel 7 Wbp) Limitering van het gebruik van gegevens (geen gebruik buiten doel, tenzij toestemming van de betrokkene of op andere grond (artikel 8, 9 Wbp) Beveiliging tegen verlies, ongeautoriseerde toegang, vernietiging, wijziging of openbaarmaking (artikel 13 Wbp). Transparantie over gegevensverwerking. Rechten van betrokkenen. Verantwoording (voor compliance met de principles) OECD: Organisation for Economic Cooperation and Development

Wet bescherming persoonsgegevens Centrale begrippen (1) ‘Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 1, sub a Wbp) Hoe worden gegevens gebruikt? Aard gegevens (kenmerkend?) en mogelijkheden tot identificatie? Pseudonimiseren? Anonimiseren? Verwerking van persoonsgegevens: ‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)

Wet bescherming persoonsgegevens Centrale begrippen (2) Verantwoordelijke: ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 1, sub d Wbp) Bewerker: ‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp) Betrokkene: ‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)

Wet bescherming persoonsgegevens Centrale begrippen (3) Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’ In vrijheid verstrekt? Betrekking op specifieke gegevensverwerking (bepaalbaarheidsvereiste)? Beschikt betrokkene over noodzakelijke informatie om tot oordeel te komen? Ondubbelzinnige toestemming (artikel 8, sub a Wbp) Bewijslast voor verantwoordelijke: Bewijzen dat toestemming is verleend; Waarvoor toestemming is verleend. ! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!

Persoonsgegevens betreffende iemands gezondheid Persoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens. Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp. Het verbod is niet van toepassing als de verwerking geschiedt door: Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG) Ondubbelzinnige toestemming is gegeven door de betrokkene.

Bewaren van persoonsgegevens Wbp Persoonsgegevens mogen niet langer dan noodzakelijk bewaard worden in een vorm die het mogelijk maakt de betrokkene te identificeren (artikel 10, eerste lid, Wbp). Wet op de geneeskundige behandelingsovereenkomst – WGBO (artikel 7:446 – 7:468 Burgerlijk Wetboek) De hulpverlener moet op grond van artikel 7:454 BW een dossier inrichten met betrekking tot de behandeling van een patient. De bewaarplicht op grond van de WGBO is 15 jaar (artikel 7:454, derde lid BW)

Beveiliging Passende technische en organisatorische maatregelen zijn vereist om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). Beveiliging van bijzondere persoonsgegevens? NEN 7510. Denk ook aan Social Engineering!

Rechten van de betrokkene Recht op inzage (artikel 35 Wbp en WGBO) Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp). Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.

Verplichtingen voor de verantwoordelijke Informatieplicht betrokkene (artikel 33 en 34 Wbp) Betrokkenen de mogelijkheid geven hun rechten uit te oefenen Beveiligingsplicht Meldingsplicht (melden van gegevensverwerking bij het College bescherming persoonsgegevens)

College bescherming persoonsgegevens Taken College bescherming persoonsgegevens (CBP) Toezicht houden op de naleving van de Wbp Handhavend optreden door het opleggen van bestuurlijke boetes, dwangsommen of het toepassen van bestuursdwang (artikel 65 e.v. Wbp) De Algemene wet bestuursrecht (Awb) is van toepassing op handhaving door het CBP. Tegen besluiten staat bezwaar en beroep open bij de bestuursrechter. Advisering

Persoonsgegevens delen met derden Buiten EU: passend beschermingsniveau vereist (artikel 76 Wbp), bijvoorbeeld EU-US safe harbour framework Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige toestemming en via een vergunning van de minister van justitie) Safe Harbour Zelfcertificering door bedrijven. Heeft alleen betrekking op de overdracht van de EU naar een andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker. Op grond van artikel 49 Wbp zijn de verantwoordelijke en de bewerker aansprakelijk in geval van non-compliance. Zie verder: http://europa.eu/rapid/press-release_IP-13-1166_en.htm

Big data in de gezondheidszorg Jaarverslag CBP 2013: http://www.cbpweb.nl/Pages/jv_2013.aspx EU: https://ec.europa.eu/digital-agenda/en/making-big-data-work-europe http://europa.eu/rapid/press-release_MEMO-13-965_en.htm

Big data in de gezondheidszorg

Big data in de gezondheidszorg

Big data - uitdagingen Ondubbelzinnige toestemming vs. Doelbinding Het recht van de betrokkene om toestemming in te trekken Het recht van betrokkene om verwijdering van gegevens te eisen Nieuwe Privacy Verordening http://goo.gl/WDUZ2 Dezelfde regels in hele EU Toestemming kan altijd worden ingetrokken, recht om vergeten te worden Data portability Beperkingen ten aanzien van ‘profiling’ Speciale toestemming verwerking genetische data: schriftelijk 12 maart 2014, EP stemt in met voorstel Verordening: http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_dp_plenary_vote_140312_en.pdf

Smart apps Opinie van de Groep Gegevensbescherming artikel 29 – WP 202 Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing (artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat) Gegevensverwerking door apps Ondubbelzinnige toestemming voor verwerking ontbreekt vaak Gebrek aan transparantie over de verwerking van persoonsgegevens Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde verwerking) Maximale gegevensverzameling Fragmentatie verantwoordelijkheden door groot aantal spelers: App-ontwikkelaars – privacy by design App-eigenaars App-winkels Fabrikanten van besturingssystemen Derden die betrokken zijn bij verzameling gegevens

Smart apps Welke persoonsgegevens? Locatie Contacten Identificatiegegevens van het apparaat (IMEI, mobiele nummer) Identiteit betrokkene Naam telefoon ‘iPhone van Sofie van der Meulen’ Creditcard- en betalingsgegevens Registeren van gesprekken, sms-berichten of instant messaging Browsergeschiedenis E-mail Inloggegevens voor diensten op internet Foto’s en video’s Biometrische informatie (bijv. gezichtsherkenning, vingerafdrukken)

Smart apps – compliance in de praktijk Toestemming voorafgaand aan installatie en verwerking. Vrije wilsuiting Knoppen ‘accepteren’ en ‘weigeren’ NIET: ‘ik ga akkoord’ Specifiek Mogelijkheid om apart akkoord te gaan met specifieke verwerking per functie van de app. NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te gaan met lange lijst voorwaarden Geïnformeerd Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke rechten voor betrokkene Doelbinding Geen tussentijdse wijziging van verwerkingsdoelen zonder ondubbelzinnige toestemming

Handige links WP 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm CBP www.cbpweb.nl EU e-Health http://ec.europa.eu/health/ehealth/portal/index_nl.htm

www.foodhealthlegal.com @FoodHealthLegal Sofie van der Meulen Axon Advocaten Piet Heinkade 183 1019 HC Amsterdam +31 88 650 6500 +31 6 53 44 05 67 sofie.vandermeulen@axonadvocaten.nl