Programma. Roeland de Bruin - AVG toegepast in de zorg PAUZE. Yvonne Nijhuis - Zorgspecifieke wetgeving en privacy

Transcriptie

1

2 Privacy in de zorg Event Privacy in de zorg 24 mei 2018 mr. drs. Yvonne Nijhuis en mr. R.W. de Bruin LL.M. KienhuisHoving advocaten & notarissen Branchegroepen Gezondheidszorg / ICT- en Privacy

3 Programma Roeland de Bruin - AVG toegepast in de zorg PAUZE Yvonne Nijhuis - Zorgspecifieke wetgeving en privacy

4

5 Over enkele uren Treedt de AVG dan écht in werking AVG?! de vervanger van de Wbp

6 Algemene Verordening Gegevensbescherming, en Denk ook aan: Concept Uitvoeringswet AVG Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (a.k.a. e-privacy Directive ) (Zorg-)sectorspecifieke regelgeving Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg Besluit elektronische gegevensverwerking door zorgaanbieders Wet op de geneeskundige behandelingsovereenkomst [ ]

7 Begrippenkader AVG Persoonsgegevens: Elk gegeven dat direct of indirect herleidbaar is tot een natuurlijke persoon Verwerking: iedere bewerking m.b.t. persoonsgegevens, van het moment van verzameling tot aan vernietiging, ook loutere opslag van persoonsgegevens valt hieronder Verantwoordelijke: degene onder wiens gezag de persoonsgegevens worden verwerkt en die het doel en middelen van de verwerking bepaalt Verwerker: degene die persoonsgegevens verwerkt ten behoeve van de verantwoordelijke (staat niet onder direct gezag van de verantwoordelijke) Betrokkene: degene op wie een persoonsgegeven betrekking heeft

8 Beginselen AVG 1. Rechtmatigheid, behoorlijkheid en transparantie 2. Doelbinding 3. Minimale gegevensverwerking 4. Juistheid 5. Opslagbeperking 6. Integriteit en vertrouwelijkheid 7. Verantwoordingsplicht ( accountability : nieuw)

9 Boetebevoegdheid AP onder AVG (nieuw) Niet kunnen aantonen accountability Persoonsgegevensverwerking zonder geldige grondslag of ongeldige toestemming Onrechtmatig bijzondere persoonsgegevens verwerken Niet voldoen aan informatieverplichtingen jegens betrokkene Niet voldoen rechten betrokkene Schending verplichtingen doorgifte persoonsgegevens naar derde landen Niet-naleving bevel Autoriteit Persoonsgegevens 20 miljoen of maximaal 4% van de jaaromzet indien dat hoger is Geen privacy by design en privacy by default Geen of onvolledige verwerkersovereenkomst Geen register persoonsgegevensverwerkingen Onvoldoende beveiligingsmaatregelen Schending meldplicht datalekken Geen PIA uitgevoerd Geen FG benoemd of FG belemmeren in de uitvoering van diens taken 10 miljoen of maximaal 2% van de jaaromzet indien dat hoger is

10 Hete soep?

11 Verwerkingsgrondslag Veelvoorkomende grondslagen in de zorg: Vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming betrokkenen; Uitvoering van een contract; Bescherming van vitale belangen betrokkenen; Ander regime voor bijzondere persoonsgegevens Gegevens betreffende (o.a.): gezondheid, seksuele voorkeuren, ras, etniciteit, geloofsovertuiging et cetera

12 Bijzondere persoonsgegevens Verwerken van bijzondere persoonsgegevens is verboden, tenzij (bijvoorbeeld): uitdrukkelijke toestemming, noodzakelijk ter bescherming vitale belangen terwijl betrokkene zelf niet in staat is toestemming te geven, Uitvoeringswet AVG: Het verbod tot het verwerken van bijzondere persoonsgegevens geldt niet voor hulpverleners, zorginstellingen, voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk BSN is extra bijzonder persoonsgegeven

13 Andere belangrijke wijzigingen voor de zorgsector Strengere eisen verwerkersovereenkomsten Verwerkers due diligence Data privacy impact assessment (DPIA) Functionaris voor de gegevensbescherming (FG) Registerplicht verwerkingen Uitbreiding rechten betrokkenen O.a. recht op dataportabiliteit en vergetelheid

14 Voorbeelden uitdagingen in de zorgsector Wanneer DPIA uitvoeren? Wel / geen FG verplicht? Verwerkersovereenkomst nodig? Wanneer sprake van passende TOMs?

15 Wanneer DPIA? Artikel 35(1) AVG: Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden

16 Wanneer DPIA? Doel: vooraf privacyrisico s van een gegevensverwerking inventariseren Verplicht indien waarschijnlijk hoog privacyrisico, bijvoorbeeld als een systeem: systematisch en uitgebreid persoonlijke aspecten van betrokkenen beoordeelt, bijvoorbeeld d.m.v. profilering; grootschalig bijzondere persoonsgegevens (bijv. gezondheid) verwerkt; of Stelselmatige en op grote schaal monitort. Zo nodig: passende maatregelen nemen Raadpleging AP Let op: soms alsnog een DPIA voor bestaande verwerkingen

17 Wanneer een FG in de zorg? (Bron:

18 Functionaris voor de gegevensbescherming (1) Art. 37(1) AVG: De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin: a)de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; b) een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of c)de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

19 Functionaris voor de gegevensbescherming (2) Wat is kernactiviteit? Kerntaken zijn de belangrijkste handelingen die nodig zijn om het doel van de verantwoordelijke of de verwerker te bereiken. WP29 geeft voorbeeld van ziekenhuis: kerntaak van ziekenhuis is het bieden van gezondheidszorg een ziekenhuis is niet in staat veilige en effectieve gezondheidszorg te bieden zonder medische gegevens, zoals de medische dossiers van patiënten, te verwerken. Daarom dient het verwerken van deze gegevens als een van de kerntaken van een ziekenhuis gezien te worden en moeten ziekenhuizen FG s aanwijzen.

20 Functionaris voor de gegevensbescherming (2) Wat is op grote schaal? Kijken naar: het aantal betrokkenen; de hoeveelheid gegevens en/of de hoeveelheid verschillende gegevens die wordt verwerkt; de duur of permanentie van de gegevensverwerking; de geografische reikwijdte van de verwerking. WP29 & AP: Op grote schaal = verwerking van patiëntgegevens als onderdeel van de gebruikelijke werkzaamheden van een ziekenhuis; Op grote schaal verwerking van patiëntgegevens door een individuele arts;

21 Verwerkers Verwerker = partij die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt Verwerker due diligence : de verwerkingsverantwoordelijke doet uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd Goedgekeurde gedragscode of goedgekeurde certificeringsregeling zijn belangrijke graadmeter Met verwerkers moeten verwerkersovereenkomsten worden gesloten (art. 28 AVG)

22 Enkele voorbeelden: Systeembeheerder/functioneel beheerder van een HIS Patiëntengegevens Administratiekantoor dat salarissen verwerkt Personeelsgegevens Factoring-dienstverleners Patiëntengegevens Beheerder van de telefonie-omgeving waarbij gesprekken kunnen worden opgenomen Patiëntengegevens

23 Moet een verwerkersovereenkomst worden gesloten? 1. Ziekenhuis A huurt ICT-dienstverlener B in voor exploitatie (hosten, in de lucht houden), onderhoud en support van het EPD-systeem; 2. Arts van ziekenhuis A belt met art van ziekenhuis C om te overleggen over patiënt Z; 3. Ziekenhuis A heeft op korte termijn meer internisten nodig, en huurt de zelfstandige specialisten F, G, en H in. F, G en H hebben toegang tot het EPD van het ziekenhuis.

24 Wbp bewerkersovereenkomst Bescherming van persoonsgegevens Beveiligingsmaatregelen Naleving meldplicht datalekken AVG verwerkersovereenkomst uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke Vertrouwelijkheidsplicht medewerkers Beveiligingsmaatregelen Subverwerkersregeling Regeling m.b.t. rechten van betrokkenen Bijstand verlenen m.b.t. meldplicht datalekken, registerplicht en PIA s Vernietigingsplicht bij beëindiging Informatie- en meewerkplicht bij audits

25 Technische en organisatorische maatregelen (TOMs)

26 Passende TOMs (1) Art 32(1) AVG: Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen [ ]

27 Passende TOMs (2) Passende technische en organisatorische beveiligingsmaatregelen Hoeven dus niet altijd de duurste, meest verregaande maatregelen te zijn, maar voor de zorg/medische gegevens geldt (uiteraard) hoge standaard Alle eigen systemen moeten passende TOMs bieden Dat geldt ook voor systemen van derden (naast overige eisen aan verwerkersrelaties)

28 Onvoldoende TOMs? Passende TOMs (3)

29 Passende TOMs (4) Hoe zit het eigenlijk met gegevensuitwisseling via: ? Alternatieven, bijvoorbeeld: Zivver, ZorgMail Whatsapp? Sms? Leestip: 6/Tijdschriftartikel/153276/WhatsApp-niet-veilig-alternatieven-wel.htm

30 Toezicht op e-health en privacy in de zorg IGJ ziet instellingen aanrommelen met e-health 2359 keer gelezen Skipr, 14 mei 2018

31 Toezicht op privacy en e-health in de zorg Inspectie Gezondheidszorg en Jeugd (IGJ); 2017 tien verkennende inspectiebezoeken over e-health bij zorgaanbieders Ahv voorlopig toetsingskader IGJ (bijlage) Factsheet over de aanleiding, de inspecties en de eerste bevindingen + hoe verder met het toezicht op e-health bij zorgaanbieders Aandachtspunten uit onderzoek waren met name: elektronische gegevensuitwisseling en informatiebeveiliging Privacy en kwaliteit/veiligheid van zorg zijn van invloed op elkaar!

32 Toezicht op privacy en e-health in de zorg AP toezichthouder voor privacy (verregaande bevoegdheden + stevig boetebeleid) IGJ en AP werken samen, met name daar waar privacy-aangelegenheden effect heeft op kwaliteit van zorg en vice versa; samenloop van bevoegdheden Samenwerkingsprotocol AP- IG Afspraken over de wijze van behandeling van aangelegenheden die elkaars toezicht raken en de uitwisseling van informatie AP: toezicht op de verwerking van persoonsgegevens cf de wet IGJ: toezicht op de kwaliteit van zorg cf de wet. De wijze van omgang met persoonsgegevens is hier onderdeel van voor zo ver deze de kwaliteit en veiligheid van de zorgverlening raakt.

33 Privacy in de zorg

34 Privacy in de zorg ; specifieke zorgwetgeving De AVG brengt geen verandering in bestaande zorgwetgeving zoals m.b.t. beroepsgeheim en informatie-uitwisseling WGBO, Wet BIG, Wkkgz, WMG, Zvw, Wlz, Jeudgwet, WMO etc. En: Wet aanvullende bepalingen verwerking persoonsgegeven in de zorg (Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg) Besluit elektronische gegevensverwerking door zorgaanbieders => Daar waar AVG meer bescherming biedt geldt AVG

35 WGBO WGBO, bijvoorbeeld Verandert het recht op inzage/afschrift onder de AVG? Nee, maar geen kosten meer inrekening brengen Volledige inzage? Nee, als privacy van een ander in t geding is Recht op dataportabiliteit ; wat wel / wat niet Recht op vergetelheid? Nee, wettelijke bewaartermijnen, wel vernietiging (deels)

36 WGBO WGBO Beroepsgeheim; nee, tenzij: Toestemming Binnen behandelteam => rechtstreeks betrokken Wettelijke plicht (Wet op de Lijkbezorging, Wkkgz, JW, Zvw, Wmg) Conflict van plichten (bv. vermoeden van misdrijf, aangifte, gevaardreiging) Zwaarwegend belang (conflict over testament / medische fout) Veronderstelde toestemming (doorverwijzen naar een specialist/terugrapportage aan huisarts)

37 WGBO KNMG Gedragsregels omgaan met medische gegevens Zie bijvoorbeeld: Gegevensuitwisseling in het kader van de WMO, Jeugdwet, Wlz en Zorgverzekeringswet

38 Wlz Wkkgz, art. 3 + uitvoeringsbesluit art. 4.1 Goede zorg, waaronder begrepen goede organisatie van zorg (artikel 3) De zorgaanbieder draagt zorg voor een veilige toepassing van medische technologie bij de zorgverlening in overeenstemming met de op zorgverleners rustende verantwoordelijkheid, voortvloeiende uit de professionele standaard, waaronder begrepen de kwaliteitsstandaard, bedoeld in artikel 1, onderdeel z, van de Zorgverzekeringswet, en veldnormen. De zorgaanbieder draagt voorts met betrekking tot het toepassen van medische technologie zorg voor schriftelijke vastlegging van: a. taken, bevoegdheden, verantwoordelijkheden en bekwaamheidseisen voor degenen die daarbij betrokken zijn; b. de gegevens waaruit blijkt dat aan de bekwaamheidseisen wordt voldaan

39 Wabv Wabv Geldt in aanvulling op AVG; waar AVG meer bescherming biedt geldt deze Wet schept randvoorwaarden voor veilig elektronisch uitwisselen van gegevens in de zorg + rechten van cliënten Aanvulling in AMvB specifieke functionele technische, organisatorische eisen (TOM) Diverse rechten voor cliënten, verplichtingen voor zorgaanbieders Factsheet Electronische gegevensuitwisseling in de zorg (bijlage)

40 Wabv Wabv Elektronisch uitwisselingssysteem; wat is dat nu precies? Bv. LSP RSP Definitie: een systeem waarmee zorgaanbieders op elektronische wijze, dossiers, gedeelten van dossiers of gegevens uit dossiers voor andere zorgaanbieders raadpleegbaar kunnen maken, waaronder niet begrepen een systeem binnen een zorgaanbieder, voor het bijhouden van een elektronisch dossier Pull-verkeer: persoonsgegevens raadpleegbaar maken voor toekomstige situaties. Push-verkeer: verzending van persoonsgegevens door een zorgaanbieder aan één of meerdere specifieke zorgaanbieder(s) die een behandelrelatie heeft/hebben met de cliënt, of wanneer een behandelrelatie wordt beoogd. De bepalingen in de Wabv, die betrekking hebben op het gebruik van een elektronisch uitwisselingssysteem, zien voornamelijk op pullverkeer

41 Wabv Wabv Wat zijn de rechten en plichten, per / per Recht van de cliënt op kosteloze elektronische inzage en afschrift medisch dossier ( ) (pull- en push- verkeer) Recht van de cliënt om gespecificeerde toestemming te geven voor gegevensuitwisseling met bepaalde (categorieën van) hulpverleners ( ) (pull-verkeer) Verzoek van de cliënt tot overzicht van wie/wanneer bepaalde informatie beschikbaar heeft gemaakt (pull-verkeer) en wie/wanneer informatie heeft ingezien/opgevraagd (pull- en push-verkeer) ( ) ( logging ) Recht van de cliënt om uitdrukkelijke toestemming te geven voor het beschikbaar stellen van diens gegevens via een elektronisch uitwisselingssysteem ( ) (pull-verkeer)

42 Wabv Wabv Wat zijn de rechten en plichten, per / per De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronisch uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt ( ) (pull- en pushverkeer) De zorgaanbieder houdt een registratie bij van de door cliënten verleende toestemming waarbij wordt aangetekend vanaf welk tijdstip de toestemming van kracht is geworden. Hij kan deze registratie beschikbaar tellen via het elektronisch uitwisselingssysteem ( ) (pull- en pushverkeer)

43 Wabv Besluit elektronische gegevensverwerking door zorgaanbieders Ruimere reikwijdte ; 6 verplichtingen Het benoemen van een functionaris voor de gegevensbescherming Het vastleggen van het beleid, de procedures en verantwoordelijkheden rondom gebruikte elektronische uitwisselingssystemen en interne zorginformatiesystemen Systemen moeten voldoen aan NEN-7510 Overeenkomsten tussen zorgaanbieder en de verantwoordelijke moeten voldoen aan NEN-7510 Ervoor zorgdragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN-7512 Ervoor zorgdragen dat de logging van cliëntengegevens voldoet aan NEN- 7513

44 Privacy ; cultuur en/of techniek? Haga pakt privacy aan na epd-schandaal Barbie; 85 medewerkers bekeken onrechtmatig epd Waarschuwing, volgende keer oosv; patiënten kunnen gegevens afschermen; Extra waarschuwing aan personeel dat een dossier opent; meer steekproeven op de naleving van wet- en regelgeving; verplichte cursus (e-learning) over privacy voor elke medewerker die beroepsmatig toegang heeft tot het elektronisch patiëntendossier; Medewerkers => persoonlijke brief waarin zij opnieuw gewezen worden op het beroepsgeheim, vertrouwelijkheid van patiëntgegevens en het belang van privacy en in arbeidsovereenkomsten wordt de passage over privacy scherper geformuleerd

45 Vragen?

46

47 Contact

48 VERDER MET