PRIVACY IN DE GEZONDHEIDSZORG 19 maart 2014 Sofie van der Meulen www.axonlawyers.com

Agenda Privacy Privacy in Nederland: de Wet bescherming persoonsgegevens in de gezondheidszorg Big data, apps & privacy Aankomende wijzigingen vanuit de EU Privacy Verordening Afsluiting

Wat is privacy? Lichamelijke privacy Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam. Relationele privacy Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim. Ruimtelijke privacy Artikel 12 Grondwet: het binnentreden van een woning. Informationele privacy Artikel 8 Handvest van de Grondrechten van de Europese Unie: ‘1.   Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2.   Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.’

Artikel 10 Grondwet Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

Privacy in het middelpunt van de belangstelling Artikel Guardian over het uploaden patiëntgegevens naar Google De NSA kijkt met u mee AIVD deelde data telefoonverkeer met VS

Assange & Snowden Edward Snowden lekte in juni 2013 informatie over spionageactiviteiten door de NSA. NSA gebruikt het programma PRISM voor het in de gaten houden van wereldwijde online communicatie. TED talk Edward Snowden: http://goo.gl/Z5gbEZ Julian Assange richtte in 2006 klokkenluiderswebsite WikiLeaks op. Via deze website kunnen officiële documenten gelekt worden.

Bradley E. Manning

Privacy Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland geïmplementeerd in: De Wet bescherming persoonsgegevens (WBP) De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld. Op Europees niveau wordt nu gewerkt aan een Privacy verordening. Samensmelting food & farma, zie bv. website Danone: “bringing health through food”.

Privacy – OECD principles in de Wbp Limitering van het verzamelen van gegevens (niet meer dan nodig). Gegevenskwaliteit gegevens moeten relevant zijn voor het doel (artikel 11 Wbp). Doelbinding. Doel van het verzamelen van gegevens moet vooraf aan verzamelen vastgesteld worden. Tijdens verzamelen mag niet van het doel afgeweken worden (artikel 7 Wbp) Limitering van het gebruik van gegevens (geen gebruik buiten doel, tenzij toestemming van de betrokkene of op andere grond (artikel 8, 9 Wbp) Beveiliging tegen verlies, ongeautoriseerde toegang, vernietiging, wijziging of openbaarmaking (artikel 13 Wbp). Transparantie over gegevensverwerking. Rechten van betrokkenen. Verantwoording (voor compliance met de principles) OECD: Organisation for Economic Cooperation and Development

Wet bescherming persoonsgegevens Centrale begrippen (1) ‘Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 1, sub a Wbp) Hoe worden gegevens gebruikt? Aard gegevens (kenmerkend?) en mogelijkheden tot identificatie? Pseudonimiseren? Anonimiseren? Verwerking van persoonsgegevens: ‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)

Wet bescherming persoonsgegevens Centrale begrippen (2) Verantwoordelijke: ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 1, sub d Wbp) Bewerker: ‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp) Betrokkene: ‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)

Wet bescherming persoonsgegevens Centrale begrippen (3) Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’ In vrijheid verstrekt? Betrekking op specifieke gegevensverwerking (bepaalbaarheidsvereiste)? Beschikt betrokkene over noodzakelijke informatie om tot oordeel te komen? Ondubbelzinnige toestemming (artikel 8, sub a Wbp) Bewijslast voor verantwoordelijke: Bewijzen dat toestemming is verleend; Waarvoor toestemming is verleend. ! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!

Persoonsgegevens betreffende iemands gezondheid Persoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens. Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp. Het verbod is niet van toepassing als de verwerking geschiedt door: Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG) Ondubbelzinnige toestemming is gegeven door de betrokkene.

Bewaren van persoonsgegevens Wbp Persoonsgegevens mogen niet langer dan noodzakelijk bewaard worden in een vorm die het mogelijk maakt de betrokkene te identificeren (artikel 10, eerste lid, Wbp). Wet op de geneeskundige behandelingsovereenkomst – WGBO (artikel 7:446 – 7:468 Burgerlijk Wetboek) De hulpverlener moet op grond van artikel 7:454 BW een dossier inrichten met betrekking tot de behandeling van een patient. De bewaarplicht op grond van de WGBO is 15 jaar (artikel 7:454, derde lid BW)

Beveiliging Passende technische en organisatorische maatregelen zijn vereist om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). Beveiliging van bijzondere persoonsgegevens? NEN 7510. Denk ook aan Social Engineering!

Rechten van de betrokkene Recht op inzage (artikel 35 Wbp en WGBO) Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp). Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.

Verplichtingen voor de verantwoordelijke Informatieplicht betrokkene (artikel 33 en 34 Wbp) Betrokkenen de mogelijkheid geven hun rechten uit te oefenen Beveiligingsplicht Meldingsplicht (melden van gegevensverwerking bij het College bescherming persoonsgegevens)

College bescherming persoonsgegevens Taken College bescherming persoonsgegevens (CBP) Toezicht houden op de naleving van de Wbp Handhavend optreden door het opleggen van bestuurlijke boetes, dwangsommen of het toepassen van bestuursdwang (artikel 65 e.v. Wbp) De Algemene wet bestuursrecht (Awb) is van toepassing op handhaving door het CBP. Tegen besluiten staat bezwaar en beroep open bij de bestuursrechter. Advisering

Persoonsgegevens delen met derden Buiten EU: passend beschermingsniveau vereist (artikel 76 Wbp), bijvoorbeeld EU-US safe harbour framework Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige toestemming en via een vergunning van de minister van justitie) Safe Harbour Zelfcertificering door bedrijven. Heeft alleen betrekking op de overdracht van de EU naar een andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker. Op grond van artikel 49 Wbp zijn de verantwoordelijke en de bewerker aansprakelijk in geval van non-compliance. Zie verder: http://europa.eu/rapid/press-release_IP-13-1166_en.htm

Big data in de gezondheidszorg Jaarverslag CBP 2013: http://www.cbpweb.nl/Pages/jv_2013.aspx EU: https://ec.europa.eu/digital-agenda/en/making-big-data-work-europe http://europa.eu/rapid/press-release_MEMO-13-965_en.htm

Big data in de gezondheidszorg

Big data in de gezondheidszorg

Big data - uitdagingen Ondubbelzinnige toestemming vs. Doelbinding Het recht van de betrokkene om toestemming in te trekken Het recht van betrokkene om verwijdering van gegevens te eisen Nieuwe Privacy Verordening http://goo.gl/WDUZ2 Dezelfde regels in hele EU Toestemming kan altijd worden ingetrokken, recht om vergeten te worden Data portability Beperkingen ten aanzien van ‘profiling’ Speciale toestemming verwerking genetische data: schriftelijk 12 maart 2014, EP stemt in met voorstel Verordening: http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_dp_plenary_vote_140312_en.pdf

Smart apps Opinie van de Groep Gegevensbescherming artikel 29 – WP 202 Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing (artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat) Gegevensverwerking door apps Ondubbelzinnige toestemming voor verwerking ontbreekt vaak Gebrek aan transparantie over de verwerking van persoonsgegevens Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde verwerking) Maximale gegevensverzameling Fragmentatie verantwoordelijkheden door groot aantal spelers: App-ontwikkelaars – privacy by design App-eigenaars App-winkels Fabrikanten van besturingssystemen Derden die betrokken zijn bij verzameling gegevens

Smart apps Welke persoonsgegevens? Locatie Contacten Identificatiegegevens van het apparaat (IMEI, mobiele nummer) Identiteit betrokkene Naam telefoon ‘iPhone van Sofie van der Meulen’ Creditcard- en betalingsgegevens Registeren van gesprekken, sms-berichten of instant messaging Browsergeschiedenis E-mail Inloggegevens voor diensten op internet Foto’s en video’s Biometrische informatie (bijv. gezichtsherkenning, vingerafdrukken)

Smart apps – compliance in de praktijk Toestemming voorafgaand aan installatie en verwerking. Vrije wilsuiting Knoppen ‘accepteren’ en ‘weigeren’ NIET: ‘ik ga akkoord’ Specifiek Mogelijkheid om apart akkoord te gaan met specifieke verwerking per functie van de app. NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te gaan met lange lijst voorwaarden Geïnformeerd Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke rechten voor betrokkene Doelbinding Geen tussentijdse wijziging van verwerkingsdoelen zonder ondubbelzinnige toestemming

Handige links WP 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm CBP www.cbpweb.nl EU e-Health http://ec.europa.eu/health/ehealth/portal/index_nl.htm

www.foodhealthlegal.com @FoodHealthLegal Sofie van der Meulen Axon Advocaten Piet Heinkade 183 1019 HC Amsterdam +31 88 650 6500 +31 6 53 44 05 67 sofie.vandermeulen@axonadvocaten.nl