Download de presentatie
De presentatie wordt gedownload. Even geduld aub
GepubliceerdErnst Mann Laatst gewijzigd meer dan 6 jaar geleden
1
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
2
Wet aanvullende bepalingen verwerking persoonsgegevens zorg
Per 1 juli 2017 in werking Drie bepalingen later in werking Eén bepaling treedt niet in werking
3
Verwerking persoonsgegevens zorg
Gespecificeerde toestemming Uitdrukkelijke toestemming raadplegen Recht op informatie Recht op elektronische inzage & afschrift Geen toegang zorgverzekeraars en bedrijfsartsen
4
Wat verandert er voor de zorg?
Gespecificeerde toestemming voor beschikbaarstelling elektronisch verwerkingssysteem Nader uitgewerkt informatierecht Recht op elektronische inzage en afschrift (inclusief logging) Mogelijkheid ontzetting beroep bij veroordeling computervredebreuk of geheimhoudingsplicht NEN 7510, 7512 en 7513 wettelijk verplicht Aparte bewaartermijn logginggegevens
5
Beveiliging
6
Functionaris gegevensbescherming
Soms verplicht Intern toezichthouder Zonder last of ruggespraak Samenwerking met externe toezichthouder en ‘contactpunt’ In Nederland binnenkort verplicht voor zorginstellingen Vanaf 25 mei 2018 ook voor CIZ
7
Verwerkersovereenkomsten
Verantwoordelijke blijft verantwoordelijk! Schriftelijke overeenkomst nodig AP stelt eisen aan overeenkomst; controle houden!
8
Eisen aan overeenkomst (1)
Voldoende organisatorische en technische beveiliging Toestemming voor subverwerkers Onderwerp, duur, aard en doel verwerking, soort persoonsgegevens en categorieën van betrokkenen Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies Geheimhouding
9
Eisen aan overeenkomst (2)
Bijstand verlenen bij vervullen verplichtingen verwerkingsverantwoordelijke jegens betrokkene Melding incidenten Controlemogelijkheden beveiliging Aansprakelijkheid? Wat te doen met gegevens na afloop overeenkomst?
10
Oók verwerkingsverantwoordelijkenovereenkomsten
Regelen: Juridisch verantwoordelijke, Ieder voor zich, of allemaal verantwoordelijk? Gezamenlijk doel en middelen bepalen, maar hoe? Wie is waarvoor verantwoordelijk? Hoe relatie met betrokkene geregeld? Hoofdelijke aansprakelijkheid ook wat betreft rechten betrokkene
11
Nooitgedacht Zorgverzekeraar Zekere Zorg heeft met Zorggroep nooitgedacht, een samenwerkingsverband, oorspronkelijk opgericht door huisartsen in de regio, een overeenkomst gesloten voor het verlenen van multidiscplinaire zorg aan diabetespatiënten. Voorwaarde daarbij is dat Nooitgedacht moet deelnemen aan een landelijke benchmark, om de kwaliteit van de zorg te meten. Wat moet Nooitgedacht allemaal afspreken met samenwerkingspartners bij het verlenen van zorg? Wat moet Nooitgedacht afspreken met een leverancier van het ketenzorginformatiesysteem?
12
Beveiligingsvoorschriften
Passende en organisatorische maatregelen Parameters: techniek, kosten, type verwerkingen, en risico’s
13
Beveiliging is ook Pseudonimisering en versleuteling, waar passend
Garantie vertrouwelijkheid en betrouwbaarheid Herstelmogelijkheden Procedure voor testen, beoordelen en evalueren beveiliging Aansluiten bij gedragscode of certificeringsmechanisme
14
Beveiliging Artikel 13 Wbp/artikel 32 Avg ISO 27001 en ISO 27002 BIR
NEN 7510 NEN 7512 NEN 7513
15
Gegevensbeschermingseffectbeoordeling (PIA)
Al verplicht voor overheidsinstanties nieuwe wetgeving Nieuwe technologieën Grote databestanden Artikel 35 schrijft voor wanneer AP moet lijst publiceren
16
Datalek in Avg Inbreuk op de beveiliging Per ongeluk of expres
vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang Melden, tenzij geen risico
17
Logging uit hacker verlies USB brand telefoon malwarebesmetting
Wat is een datalek? Delen wachtwoord Logging uit Computer USB verlies hacker brand telefoon malwarebesmetting
18
Het USB-incident Janine doet indicaties voor het CIZ op locatie. Omdat zij vaak vanuit huis werkt en bovendien in een buitengebied woont met een hele slechte internetverbinding, schrijft zij relevante gegevens op een usb-stick die zij vervolgens mee naar haar werk neemt om te kunnen verwerken ten behoeve van het definitieve indicatiebesluit. Op zekere dag valt de USB-stick in de toilet. Moet er gemeld worden? Als een kopie beschikbaar is? De USB-stick encrypted is? Alleen NAW-gegevens opstaan?
19
Wanneer meldplicht? Meldingsplicht bij datalek (melden bij AP):
inbreuken op de beveiliging (beveiligingsincident), Wbp: met (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Avg: melden, tenzij niet waarschijnlijk dat er risico is voor rechten en vrijheden van natuurlijke personen Lek van bijzondere persoonsgegevens (zoals gezondheidsgegevens) altijd melden Wanneer meldplicht?
20
72 Hoe melden? Melding aan AP: Eventueel melding aan betrokkene
Wat is er aan de hand? Waarschijnlijke gevolgen Naam FG Maatregelen Waar meer informatie verkrijgbaar? Stapsgewijze infoverstrekking is toegestaan Eventueel melding aan betrokkene 72 Wat is rol FG?
21
10 mijoen 20 miljoen Sancties Avg Aanwijzing, Waarschuwing, Berisping
Opleggen boete 20 miljoen
22
Dirkzwager zorgt dat u het weet. Jurisprudentie
Actuele kennis van wet- en regelgeving mr. dr. L.A.P. (Luuk) Arends Telefoon Jurisprudentie Dirkzwager zorgt dat u het weet. Kantoor Arnhem Postbus 111 6800 AC Arnhem Velperweg 1 6824 BZ Arnhem Kantoor Nijmegen Postbus 55 6500 AB Nijmegen Van Schaeck Mathonsingel 4 6512 AN Nijmegen T +31 (0) F +31 (0) E I
Verwante presentaties
© 2024 SlidePlayer.nl Inc.
All rights reserved.