Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens?
|
|
- Wouter van de Velde
- 7 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Professioneel artikel Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens? M.J. Bonthuis Journal of Chain-computerisation Information Exchange for Chain Co-operation 2016 Volume 6, Art. #1
2 Ontvangen: 1 maart 2016 Geaccepteerd: 18 april 2016 Gepubliceerd: 13 mei Volume 6, Art. #1 URN:NBN:NL:UI: ISSN: URL: Uitgever: Utrecht University Library Open Access Journals, in samenwerking met het Department of Information and Computing Sciences, Universiteit Utrecht Copyright: dit werk valt onder een Creative Commons Attribution 3.0 Licentie 2
3 Dataprotectie in ketens Zijn de huidige privacy concepten wel geschikt voor toepassing in ketens? Mw. mr. M.J. Bonthuis IT s Privacy bonthuis@itsprivacy.nl Samenvatting: De vraag die in dit essay centraal staat is of de huidige privacy concepten geschikt zijn voor het ketenniveau. Nu effectieve overkoepelende sturing in een keten ontbreekt, gegevens door de verschuiving van halen naar brengen meer uit het zicht van de verantwoordelijke raken en toestemming niet de juiste waarborgen op het grootschalige niveau biedt, is een herijking van het huidige wettelijke kader nodig. Het is dan ook gebleken dat privacy concepten kleinschalig zijn en niet zonder meer geschikt zijn voor de toepassing op het ketenniveau. Er kunnen vanuit het leerstuk echter wel aanbevelingen worden gedaan hoe de privacy concepten geschikt te maken voor het (grootschalige) ketenniveau. De richting waarin de oplossing kan worden gezocht wordt in dit essay weergegeven. Trefwoorden: dataprotectie, ketens, kleinschaligheid, grootschaligheid, niveauvergissing, privacy. Abstract: In this essay the question will be answered if the current privacy concepts are suitable for application in chains. Now effective overall control in a chain is missing and there is a shift from the transfer of personal data from 'push' to pull, whereby personal data gets more out of sight of the controller. Consent does not guarantee proper protection of personal data of the individual on the scale level. A review of the current legal data protection framework seems needed. Privacy concepts are developed for a small-scale usage and cannot be considered as suitable for the application at the chain level. Recommendations from the doctrine of chain computerization can show how to make the privacy concepts suitable for the (large-scale) chain level. The direction in which the solution can be found is the key of this essay. Keywords: dataprotection, chains, small-scale, large-scale, fallacy of the wrong level, privacy. 1. Inleiding Organisaties wisselen steeds vaker persoonsgegevens uit om een gezamenlijk of maatschappelijk probleem op te lossen. Een voorbeeld is het Landelijk Schakelpunt (LSP) ook wel bekend als het Landelijk Elektronisch Patiëntendossier. Het probleem dat het LSP door het landelijk beschikbaar stellen van medische gegevens wilde oplossen was het voorkomen van medische fouten. Een ander voorbeeld is het regisseren van zorg vanuit verschillende instanties rondom een gezin (transitie Jeugdzorg) door middel van een Digitaal Dossier Jeugdzorg (DDJZ). Het delen van persoonsgegevens van probleemgezinnen aan (alle) betrokken organisaties zou de zorg voor jeugd moeten verbeteren en het aantal incidenten terug moeten dringen. 3
4 Samenwerkende organisaties richten bij deze initiatieven vaak een gezamenlijke informatie-infrastructuur in, al dan niet met een zoekfunctie (verwijsindex). Door in een samenwerkingsverband persoonsgegevens uit te wisselen bevinden deze zich nog maar zelden op één plek en worden ze steeds minder beheerd door één verantwoordelijke. Organisaties worden steeds afhankelijker van het gebruik van persoonsgegevens van elkaar, waardoor de verwerking uit het zicht van de verantwoordelijken (bronhouders) kan raken. Een gevolg van deze traditionele manier van informatisering is dat het vaak problemen oplevert op het gebied van toegang door (te) veel personen van verschillende partijen, en de doelbinding. De gegevens zijn door de afzonderlijke partijen vaak niet voor dit doel verkregen. Onder invloed van keteninformatisering ontstaat dan ook een nieuw speelveld, waarbij eigen regels gelden. Dit nieuwe speelveld wordt nog lang niet door ieder samenwerkingsverband herkend. Zo maakt iedere organisatie de belangenafweging om wel of niet samen te werken nu vaak op het niveau van de eigen organisatie. Zo zal voor zorginstellingen die samen willen werken het beroepsgeheim het delen van (bijzondere) persoonsgegevens in beginsel in de weg staan, waardoor er geen gegevens worden uitgewisseld, terwijl het oplossen van het maatschappelijke probleem daar wel om kan vragen. Andere organisaties komen in de problemen als het gebruik van de gegevens in de keten niet verenigbaar is met het doel waarvoor zij de gegevens hebben verkregen. Ook kunnen er tussen de verschillende organisaties conflicterende belangen ontstaan, mede vanwege het ontbreken van een gezamenlijke rechtmatige grondslag en het ontbreken van een overkoepelende sturing (besluitvorming op ketenniveau). Daardoor verlopen dergelijke initiatieven veelal stroef en moeizaam. Het wettelijke kader voor de bescherming van persoonsgegevens in ketens waarbij gezondheidsinformatie uitgewisseld wordt bestaat onder andere uit de Wet 1 bescherming persoonsgegevens (Wbp) en de Wet geneeskundige behandelingsovereenkomst (WGBO). In de Wbp wordt gesproken over de relatie verantwoordelijke-betrokkene en in de WGBO staat de behandelingsovereenkomst tussen de hulpverlener en de patiënt centraal. Deze beide wetten gaan uit van een klassieke opdrachtgever-opdrachtnemer-relatie op het niveau van de organisatie, terwijl organisaties in een samenwerkingsverband op een grootschalig niveau gegevens uitwisselen. De toepassing van regels gemaakt voor traditionele één-opéén-relaties lijkt dan ook niet goed te passen op de risico s zoals die ontstaan in de huidige (grootschalige) informatiseringspraktijk. In dat speelveld is de relatie immers veel-op-veel (n:n). In dit essay zullen de belangrijkste privacy concepten (verantwoordelijke, verwerking, doelbinding, rechtmatige grondslag (waaronder toestemming) en dataminimalisatie worden weergegeven. Deze concepten lijken niet per definitie geschikt voor de grootschalige gegevensuitwisseling zoals die in een maatschappelijke keten plaatsvindt. Er ontstaan problemen, met name bij het verwerken van (bijzondere) persoonsgegevens, onder andere op het gebied van de rechtmatige toegang en doelbinding. Het is voor ketenpartijen vaak onduidelijkheid hoe zij moeten omgaan met de rechtmatigheid van de uitwisseling in een dergelijke complexe en weerbarstige context. De privacy concepten die van toepassing zijn op het verwerken van (bijzondere) persoonsgegevens zullen in dit essay toegepast worden op de belangrijkste ketenbegrippen uit het leerstuk Keteninformatisering, te weten: 1 Die medio 2018 vervangen zal worden door een Algemene Verordening Gegevensbescherming (AVG). 4
5 - het ontbreken van gezag; - de niveauvergissing; - het dominante ketenprobleem en; - de verschuiving van halen naar brengen van gegevens (decentralisatie). Het essay beperkt zich tot ketens die bijzondere (gevoelige) persoonsgegevens (i.c. gegevens omtrent de gezondheid) uitwisselen. Deze soorten gegevens kennen vanwege de hoge mate van gevoeligheid een strenger beschermingsregime. De uitkomsten van dit onderzoek hebben echter een breder bereik dan gezondheidsgegevens, namelijk die van alle bijzondere (gevoelige) gegevens, maar ook persoonsgegevens in het algemeen. Het onderzoek waarop dit essay is gebaseerd kan de vraag helpen beantwoorden of de huidige privacy concepten wel geschikt zijn voor toepassing in ketens. 2. Privacy concepten In dit onderdeel worden de belangrijkste privacy concepten verantwoordelijke, verwerking, doelbinding, rechtmatige grondslag waaronder toestemming en dataminimalisatie/ proportionaliteit behandeld in het licht van de verwerking van bijzondere persoonsgegevens (gegevens over de gezondheid en strafrechtelijke gegevens) in een maatschappelijke keten. 2.1 Verantwoordelijke De verantwoordelijke is volgens de Wbp een verantwoordelijke degene die het doel en middel van de verwerking vaststelt. 2 De verantwoordelijke voor de verwerking van de persoonsgegevens kan een rechtspersoon of een natuurlijke persoon zijn. De hulpverlener die een behandelingsovereenkomst heeft gesloten met de patiënt is volgens de WGBO de verantwoordelijke van een patiëntendossier. 3 Dat kan bijvoorbeeld als de hulpverlener in dienst is- ook de gezondheidszorginstelling zijn. Door de bepaling inzake mede-aansprakelijkheid van het ziekenhuis (art. 7:462 BW) en de schakelbepaling van art. 7:464 BW is dan ook gewaarborgd dat de patiënt zich in de praktijk niet bezig hoeft te houden met wie precies zijn wederpartij is. Als organisaties gezamenlijk doel en middelen bepalen zijn zij gezamenlijk verantwoordelijk. 4 Op grond van de WGBO is de hulpverlener verantwoordelijk voor de naleving van de voorschriften in de WGBO. Dat geldt ook wanneer patiëntengegevens in een keten worden verwerkt. 2.2 Verwerking Zowel het delen van de eigen persoonsgegevens met anderen, maar ook het hergebruik van die persoonsgegevens valt volgens de Wbp onder het begrip verwerken. Artikel 1 van de Wbp spreekt over verwerking als sprake is van:..verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen.. Daar waar de Wbp over verwerking spreekt, heeft de WGBO het over een patiëntendossier. Voor alle verwerkingshandelingen, dus ook de verstrekking (oftewel het delen of uitwisselen van gegevens), is de verantwoordelijke gehouden 2 Tweede Kamer, vergaderjaar , , nr. 3 3 Van wet naar praktijk. Implementatie van de WGBO. Deel 3 Dossier en bewaartermijnen (2014) 4 CBP (2005) 5
6 aan de zorgvuldigheidsplichten uit de Wbp en is de hulpverlener daarnaast verplicht de vertrouwelijke relatie tussen hem en de patiënt uit hoofde van de WGBO te waarborgen (ook wel: het beroepsgeheim). De vereisten rondom vertrouwelijkheid en privacy komen met name aan de orde als de hulpverlener de patiëntgegevens aan anderen dan de patiënt of diegenen die rechtstreeks betrokken zijn bij de behandelingsovereenkomst wil verstrekken, zoals bijvoorbeeld in een samenwerkingsverband. Een dossier van een hulpverlener bevat noodzakelijke gegevens die nodig zijn voor goede hulpverlening. Het kan gaan om gegevens die de inhoud van het medisch handelen weergeven, gegevens die noodzakelijk zijn voor de continuïteit van zorg en schriftelijke wilsverklaringen. In dit essay wordt onder informatie-infrastructuur een gezamenlijke verwerking verstaan. De verwerking zoals die binnen de organisatie plaatsvindt wordt als bronsysteem of brongegevens aangeduid. Op beide niveaus is sprake van een verwerking. Het verwerken van persoonsgegevens zoals bijvoorbeeld in een gemeenschappelijke infrastructuur kan dan ook als een gezamenlijke (nieuwe) verwerking worden gezien. 2.3 Doelbinding Een verwerking is volgens de Wbp rechtmatig als deze op basis van een vooraf omschreven en welbepaald doel (art. 3 Wbp) geschiedt en gebaseerd is op een rechtmatige grondslag (art. 8 Wbp). Patiëntgegevens zijn op hun beurt aan te merken als gegevens omtrent de gezondheid waarop in de Wbp een strenger regime van toepassing is (art. 16, 21 e.v. Wbp). Op gegevens uit patiëntendossiers rust daarnaast vanuit de WGBO een beroepsgeheim. Het delen van de persoonsgegevens in een keten moet dan ook altijd verenigbaar zijn met het doel waarvoor de gegevens zijn verkregen, tenzij het beroepsgeheim zich tegen het delen verzet.5 Artikel 9 van de Wbp maakt delen van gegevens mogelijk als deze verenigbaar is met het oorspronkelijke doel. 2.4 Rechtmatige grondslag Voor iedere verwerking van persoonsgegevens is een toelaatbare grondslag uit art. 8 van de Wbp nodig. Deze kan bestaan uit toestemming van de betrokkene (art. 8 onder a Wbp), gebaseerd zijn op een overeenkomst met de betrokkene (art. 8 onder b Wbp), een publiekrechtelijke taak of wettelijke plicht (art. 8 onder c en d Wbp), gebaseerd zijn op een noodsituatie (art. 8 onder e Wbp) of berusten op een ander zwaarwegend gerechtvaardigd belang (art. 8 onder f Wbp). De doelbinding uit artikel 3 Wbp en de rechtmatige grondslag uit art. 8 Wbp vormen tezamen het gerechtvaardigd doel van de verwerking.vanuit de WGBO, die aanvullende en sectorspecifieke regelingen bevat ten aanzien van de Wbp, kan de hulpverlener, behoudens enkele uitzonderingen, alleen aan degene die rechtstreeks betrokken is bij de behandelingsovereenkomst de noodzakelijke patiëntgegevens verstrekken. Voor het verstrekken aan anderen, behoudens enkele uitzonderingen, is toestemming van de patiënt nodig (art. 7:457 BW) Toestemming Toestemming van de betrokkene is een van de rechtmatige grondslagen uit art. 8 Wbp en eveneens een grondslag om het beroepsgeheim te kunnen doorbreken. In het huidige wettelijke kader, maar ook in toekomstige wet- en regelgeving, waaronder de Algemene Verordening Gegevensbescherming (AVG) die op termijn 5 CBP (2005) 6
7 de huidige Wbp zal gaan vervangen, opteert de wetgever voor meer empowerment van de betrokkene. Deze zal meer zeggenschapsrechten krijgen, onder andere in de vorm van expliciete toestemming. Deze empowerment zou moeten leiden tot meer transparantie, regie en controle en dus ook betere ketenzorg. 2.5 Dataminimalisatie/ proportionaliteit Organisaties hebben vanuit het wettelijke kader de plicht om binnen redelijke grenzen privacy-inbreuken te vermijden dan wel zo beperkt mogelijk te houden. Als de verwerking van persoonsgegevens met hetzelfde doel ook langs andere weg en met minder ingrijpende middelen kan worden gerealiseerd, bij voorbeeld door anonieme gegevens, dan zal de organisatie daarvoor moeten kiezen. Het is van belang dat organisaties in redelijkheid alle eventuele bestaande mogelijkheden benutten om de inbreuk op de persoonlijke levenssfeer van betrokkenen te beperken. De op de grondrechten gebaseerde beginselen maakt dat de verwerking van gegevens gebonden aan is het noodzakelijkheidscriterium. 6 De norm behelst in die gevallen de noodzakelijkheidstoets in relatie tot een welbepaald, concreet aangeduid of nader aan te duiden doel. Vergelijkbare vereisten zijn ook terug te vinden in de WGBO. 3. De kernbegrippen uit het leerstuk Keteninformatisering In dit onderdeel worden de volgende kernbegrippen uit het leerstuk Keteninformatisering behandeld: - het ontbreken van gezag; - de niveauvergissing; - het dominante ketenprobleem; - de verschuiving van halen naar brengen (decentralisatie) Ontbreken van gezag In een genetwerkte informatiestructuur is het niet makkelijk aan te geven wie waarvoor verantwoordelijk en aansprakelijk is. Onder andere door het ontbreken van formeel overkoepelend gezag is er minder sturing op de uitwisseling, waardoor deze vaak minder efficiënt en doelmatig verloopt Niveauvergissing Het leerstuk keteninformatisering maakt een onderscheid tussen twee niveaus, namelijk die van het (kleinschalige) grondvlak en het (grootschalige) ketenniveau. 9 Op het grondvlak bevinden zich de gegevens van de organisaties, ook wel aangeduid als brongegevens. Op het ketenniveau bevindt zich de gemeenschappelijke uitwisseling, oftewel daar waar de gegevens worden gedeeld. Wettelijke kaders zoals die van toepassing zijn op het grondvlak werken niet per definitie op dezelfde manier als op het ketenniveau en vice versa. 10 Als organisaties de privacy concepten zoals die gelden op het grondvlak klakkeloos toepassen op het ketenniveau, maakt men volgens het leerstuk keteninformatisering meestal een niveauvergissing. 6 Tweede Kamer, vergaderjaar , , nr In de methode Keteninformatisering ook wel een zo kaal mogelijke informatie-infrastructuur genoemd. 8 Grijpink, J.H.A.M. Grijpink (03 Ketenanalyse) 10 J.H.A.M. Grijpink (Ketens, overheidsinformatiebeleid en bescherming van persoonsgegevens) 7
8 3.3 Dominant ketenprobleem Een van de voorwaarden voor ketensamenwerking is dat deze gericht moet zijn op de aanpak van een dominant ketenprobleem, onder andere vanwege het ontbreken van gezag, onvoorspelbaarheid en onbeheersbaarheid van de ketensamenwerking. Een dominant ketenprobleem is een probleem dat in de gehele keten voelbaar is, door geen de afzonderlijke organisaties opgelost kan worden en bij het niet oplossen de keten als geheel in opspraak kan brengen. Veelal is het delen van gegevens een noodzakelijk voorwaarde voor het oplossen van een dominant ketenprobleem. 3.4 Van halen naar brengen (decentralisatie) Op het grondvlak worden gegevens die men van elkaar nodig heeft vaak opgehaald. De verantwoordelijke kan per concreet geval beslissen over de aard en de omvang van verstrekking van gegevens aan anderen. Op het ketenniveau legt de verantwoordelijke deze beslissing in de handen van de raadpleger die zich op grond van goed hulpverlenerschap moet beperken tot de gegevens die voor hem noodzakelijk zijn. Hier is veelal sprake van het brengen van patiëntengegevens. In de keten is dan ook een verschuiving te zien van het zogenaamd haal- naar een brengprincipe 11. In het leerstuk is het uitgangspunt om op het ketenniveau te komen tot een zo kaal mogelijke informatie-infrastructuur en alleen die gegevens die noodzakelijk zijn om het dominant ketenprobleem op te lossen uit te wisselen. In privacy wet- en regelgeving spreekt men van dataminimalisatie, waarbij alleen noodzakelijke gegevens op een voor de betrokkene zo min mogelijk belastende manier mogen worden uitgewisseld, oftewel gebaseerd moet zijn op het beginsel van proportionaliteit. Persoonsgegevens die voor een welbepaald doel op het grondvlak zijn verkregen kunnen op het ketenniveau ook voor andere doelen worden gebruikt. Het leerstuk gaat uit van ketensystemen waarbij geen gegevens (centraal) worden geregistreerd dan wel centraal door een verwijsindex raadpleegbaar zijn, maar de bron waar het gevraagde gegeven zich bevindt communiceert. De gegevens blijven dan ook in het bronbestand. Alleen de gegevens die noodzakelijk zijn om het dominante ketenprobleem op te lossen, worden op het moment dat het probleem zich voordoet, decentraal gedeeld. 4. Toepassing van kernbegrippen keteninformatisering op de privacy concepten: Kleinof grootschalig? Het leerstuk keteninformatisering maakt onderscheid tussen het grondvlak (kleinschalig niveau) en het ketenniveau (grootschalig niveau). Concepten die van toepassing zijn op het kleinschalige niveau kunnen niet per definitie worden toegepast op het grootschalige niveau (keten), zonder na te gaan of de veronderstellingen en uitgangspunten op die schaal wel geldig zijn. Er is dan sprake van een niveauvergissing. In dit essay wordt bekeken in hoeverre de behandelde privacy concepten niveau gebonden zijn en naarmate de schaal toeneem zij aan betekenis verliezen. Door de toepassing op de kernbegrippen van het leerstuk kan een uitspraak worden gedaan in hoeverre de privacy concepten geschikt zijn voor toepassing op het grootschalige niveau. Vervolgens zijn aanbevelingen gedaan hoe privacy concepten gebruikt zou kunnen worden het grootschalige ketenniveau. 8
9 4.1 Verantwoordelijke versus het ontbreken van gezag Privacywetgeving (waaronder de Wbp en WGBO) gaat uit van een één-op-één relatie tussen de verantwoordelijke en betrokkene. In een keten ontbreekt doorgaans formeel overkoepelend gezag. Er kan vaak geen gezamenlijke verantwoordelijke aangewezen worden. Dat bleek onder andere toen NICTIZ als uitvoeringsorgaan een cruciale rol had bij het LSP door feitelijk toegang te verschaffen tot de gegevens van betrokkenen, dat zij door de Autoriteit Persoonsgegevens (AP) als verantwoordelijke werd gezien. Doordat NICTIZ zeggenschap had over essentiële elementen op het gebied van de beveiliging (beschikbaarheid, vertrouwelijkheid en integriteit), zowel op technisch als organisatorisch vlak, kreeg zij de rol van verantwoordelijke, oftewel degene die doel en middelen vaststelt. NICTIZ in de rol van verantwoordelijke strandde echter op het feit dat zij geen rechtmatige grondslag had waarop zij de verwerking kon baseren. In 2011 werd de rol van NICTIZ als verantwoordelijke van het LSP dan ook door de AP afgekeurd. Volgens de AP kunnen meerdere verantwoordelijken gezamenlijk verantwoordelijk zijn voor een uitwisseling in een keten. 12 NICTIZ probeerde het ontbreken van de rechtmatige grondslag te repareren door zorgaanbieders gezamenlijk verantwoordelijk voor het LSP te laten zijn en waarbij NICTIZ als bewerker zou optreden. Dat er grenzen aan het aantal verantwoordelijken zit, bleek toen de AP aan NICTIZ liet weten dat in het geval van het LSP niet alle zorgverleners gezamenlijk als verantwoordelijke in de zin van de Wbp kunnen worden beschouwd. Het zou voor de betrokkene te onduidelijk zijn waar zeggenschap van welke verantwoordelijke ophoudt en waar deze begint. Een ander voorbeeld van een aangewezen verantwoordelijke in een keten, is die van de Gemeente bij de decentralisatie van Jeugdzorg in De minister van VWS kwam in het kader van de transitie van de Jeugdzorg met een concepttekst van een zogenaamde Veegwet 13, waarin zij de Gemeente de bevoegdheid gaf gezondheidsgegevens te verwerken voor administratieve en financiële doelen. De AP gaf aan dat dit geen geldige doorbreking van het beroepsgeheim kon zijn. 14 Ook wanneer een overkoepelende verantwoordelijke wordt aangewezen, is deze niet effectief. Het ontbreekt de aangewezen verantwoordelijke vaak aan een rechtmatige grondslag uit de Wbp en de WGBO. Het concept verantwoordelijke is dan ook kleinschalig van aard, waardoor het concept niet geschikt is voor toepassing in de keten. 4.2 Verwerking versus niveauvergissing Door bronbestanden van verschillende verantwoordelijken te koppelen (dan wel te schakelen ) ontstaat een nieuwe (gezamenlijke) verwerking. Voorbeelden hiervan zijn het landelijk schakelpunt (LSP) en het digitaal dossier jeugdzorg (DDJZ). Met de uitwisseling van gegevens in een keten zal doorgaans een nieuwe verwerking ontstaan die terug zal moeten kunnen vallen op een eigen gerechtvaardigd doel. De toepassing van de rechtmatige grondslag zoals die geldt op het grondvlak leidt vaak tot botsingen van regimes, bijvoorbeeld tussen beroepsgeheim en opsporing. In plaats van de eigen kaders toe te passen, zal dit op het niveau van de gegevensuitwisseling opnieuw bepaald moeten worden. Anders is immers sprake van een niveauvergissing. 12 Informatieblad "Informatie delen in samenwerkingsverbanden, CBP (2012)
10 4.3 Doelbinding versus de- en her-contextualisering Persoonsgegevens die op het grondvlak zijn verwerkt voor een welbepaald doel, kunnen alleen op het ketenniveau worden hergebruikt als dat verenigbaar is met het doel waarvoor ze zijn verkregen. Hoe meer de twee doeleinden verwant zijn, hoe eerder het gebruik van gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Partijen mogen bij het verwerken van bijzondere (gevoelige) gegevens niet zonder meer aannemen dat deze gegevens voor andere doeleinden gebruikt mogen worden. Als het verdere gebruik (i.c. in de keten) tot gevolg heeft dat een bepaalde beslissing over de betrokkene wordt genomen, bijvoorbeeld wanneer het gebruik ertoe leidt dat de betrokkene wordt beperkt in zijn mogelijkheden om zich maatschappelijk te ontwikkelen, zal een extra afweging gemaakt moeten worden. 15 Daarnaast zijn gegevens in beginsel betekenisloos en krijgen door structurering, interpretatie en context betekenis. Het gevaar bestaat dat door het oorspronkelijke gegeven uit zijn eigen context te halen sprake kan zijn van de-contextualisering. Daarnaast kan door her-contextualisering op het ketenniveau nieuwe/ extra informatie ontstaan. Op basis van indirecte waarneming kunnen er verkeerde beslissingen worden genomen. 16 Dit maakt het concept doelbinding kleinschalig. 4.4 Rechtmatige grondslag (waaronder toestemming) versus dominant ketenprobleem In een keten waarin verschillende disciplines vertegenwoordigd zijn, wordt het gerechtvaardigd doel vaak door de vragende organisatie bepaald waardoor de afweging uit het zicht van de verstrekkende en verantwoordelijke organisatie raakt. 17 In een keten waarin partijen die werkzaam zijn op het gebied van de hulpverlening participeren, zal veelal het beroepsgeheim roet in het eten gooien. Naast het feit dat het beroepsgeheim zich vaak tegen uitwisseling verzet, raken de gegevens voor de partij die verantwoordelijk is van de patiëntgegevens uit het zicht en is niet duidelijk wie welke gegevens voor welk doel zal opvragen. Het feit dat het (eventuele) beroepsgeheim het delen van informatie in de weg staat, maakt het concept kleinschalig. Binnen het LSP zou volgens de AP alleen op basis van uitdrukkelijke toestemming van de patiënt de gegevens uitgewisseld mogen worden. Echter, toestemming (art. 8 onder a Wbp, art. 7:457 WGBO) zal binnen een keten vaak geen toelaatbare grondslag kunnen zijn, aangezien het initiatief tot samenwerken vaak niet van de betrokkene afkomstig is. Daarnaast is het feit dat de betrokkene zijn toestemming in vrijheid moet kunnen geven niet in lijn met de veelal afhankelijke positie ten opzichte van de organisaties die in de keten samenwerken (zorginstellingen Bureau Jeugdzorg, school of woningbouwcorporatie). Het concept toestemming moet dan ook in relatie met de verantwoordelijke worden bezien en is daarmee kleinschalig van aard. Het concept houdt daarnaast ook geen rekening met het ontstaan van een nieuwe informatiepositie van organisaties met diens eigen privacy risico s, onder andere ontstaan door hercontextualisering. De betrokkene is veelal niet in staat te overzien welke consequenties dat heeft. 4.5 Dataminimalisatie versus decentralisatie Zowel in de wettelijke kaders als in het leerstuk is het uitgangspunt te komen tot een zo kaal mogelijke informatie-infrastructuur. Alleen de noodzakelijke gegevens 15 Informatieblad "Informatie delen in samenwerkingsverbanden, CBP (2012) 16 Wetenschappelijke Raad voor het Regeringsbeleid, ioverheid (2011) 17 KNMG, WGBO: van wet naar praktijk, deel 4 10
11 kunnen op basis van een rechtmatige grondslag worden uitgewisseld. Daar waar de wet niet techniek onafhankelijk is opgesteld en niet spreekt over de wijze van uitwisseling (centraal of decentraal), is de uitwisseling van persoonsgegevens vanuit het leerstuk decentraal van aard en past daarmee bij het beginsel van proportionaliteit. 4.6 Overzicht in schema Het volgende schema geeft de uitkomsten van de toepassing van de kernbegrippen uit het leerstuk op de privacy concepten weer. Privacy concept Kernbegrip Schaal? Uitwerking Aanbeveling Verantwoordelijke Ontbreken van gezag Kleinschalig, gebaseerd op bronbestand Verwerking Niveauvergissing Kleinschalig, gebaseerd op bronbestand Doelbinding Decentralisatie Kleinschalig, gebaseerd op bronbestand Rechtmatige grondslag, toestemming Dataminimalisatie Dominant ketenprobleem (dkp) Decentraal communiceren van noodzakelijke gegevens Kleinschalig, gebaseerd op een één-op-één relatie met verantwoordelijke en verwerking. Kleinschalig, gegevens zijn context-gebonden Dominant ketenprobleem als verantwoordelijke Op ketenniveau ontstaat een nieuwe verwerking. Gegevens kunnen een andere betekenis krijgen op het ketenniveau. n:n, er zal een eigen gerechtvaardigds doel moeten zijn voor de nieuwe verwerking op het ketenniveau, het dkp kan daar behulpzaam bij zijn. Door risico s van de en hercontextualisering kan een kale infrastructuur beter passen bij beginsel van proportionaliteit Aanbevelingen In dit onderdeel worden de privacy concepten zoals die zijn toegepast op de kernbegrippen van het leerstuk voorzien van aanbevelingen. Hiermee kan een oplossingsrichting worden geschetst hoe de kleinschalige concepten op een grootschalig niveau toe te kunnen passen. 5.1 Dominant ketenprobleem als verantwoordelijke Organisaties die met behulp van een samenwerkingsverband persoonsgegevens uitwisselen zijn daarvoor gezamenlijk verantwoordelijk. In een keten ontbreekt vaak een effectieve overkoepelende sturing en is vaak geen verantwoordelijke aan te wijzen. Het toepassen van het concept verantwoordelijke kan de belangen van de betrokkene niet op een goede manier waarborgen in een grootschalige uitwisseling onder andere omdat er geen (effectieve) sturing is op het niveau van de samenwerking. 11
12 Met de focus op een dominant ketenprobleem kan de selectie van ketenpartners hun gemeenschappelijke verantwoordelijkheid waarmaken om persoonsgegevens op een zorgvuldig en rechtmatige wijze te verwerken en zo het maatschappelijke probleem oplossen. Als alleen noodzakelijke gegevens door een afgebakende geselecteerde groep organisaties gecommuniceerd worden daar waar het dominante ketenprobleem zich voordoet, kan de betrokkene zijn rechten (blijven) uitoefenen op het grondvlak. 5.2 Een nieuwe verwerking op ketenniveau (anders: niveauvergissing) Het toepassen van het kleinschalige kader op het grootschalige niveau heeft tot gevolg dat organisaties verzanden in conflicterende wet- en regelgeving dan wel uitwisseling leidt tot onrechtmatige toegang. Nu er nauwelijks een gemeenschappelijke verantwoordelijke voor de keten als geheel aangewezen kan worden en het feit dat er een nieuwe verwerking is ontstaan, zal men de uitwisseling op een gemeenschappelijk gerechtvaardigd doel op het niveau van de keten moeten baseren. 5.3 Doelbinding Bij ander gebruik (hergebruik) op het niveau van de keten dan het oorspronkelijke gebruik op het grondvlak zullen steeds opnieuw de belangen van de betrokkenen afgewogen moeten worden tegen de belangen die de keten heeft met het oplossen van het probleem. Transparantie over het gerechtvaardigd doel van de ketensamenwerking zal dan ook beter passen bij de informatiepositie die de betrokkene op het ketenniveau heeft. 5.4 Rechtmatige grondslag (waaronder toestemming) en dominant ketenprobleem Het concept toestemming wordt vaak als ultieme oplossing beschouwd. De kleinschalige privacy concepten zijn echter niet per definitie geschikt om op het grootschalige (keten-)niveau dezelfde waarborgen te bieden. Toestemming als kleinschalig concept in een dergelijke grootschalige dynamiek is geen passende oplossing om op rechtmatige wijze gegevens te delen. 5.5 Dataminimalisatie en decentralisatie Nu effectieve overkoepelende sturing in een keten ontbreekt, gegevens door de verschuiving van halen naar brengen meer uit het zicht van de verantwoordelijke raken en toestemming niet de juiste waarborgen op het ketenniveau biedt, is een herijking van het huidige wettelijke kader nodig. Het uitgangspunt is daarbij te komen tot een zo kaal mogelijke informatie-infrastructuur (proportionaliteit en dataminimalisatie) met een dominant ketenprobleem als verantwoordelijke en rechtmatige grondslag. Organisaties die in een keten willen samenwerken, maar ook als zij gaan werken met Big Data of in de cloud, zullen niet moeten blijven wachten op de eventuele herijking van het juridische kader, maar hebben een eigen verantwoordelijkheid op het gebied van informatisering, ondanks de handicap van een kleinschalig instrumentarium. 12
13 Biografie: Mw. mr. M.J. Bonthuis (1976) is als promovenda verbonden aan de Rijksuniversiteit van Groningen, Faculteit der Rechtsgeleerdheid en als IT-Jurist werkzaam bij verschillende zorginstellingen en wetenschappelijke onderzoeksinstellingen. Dit essay is geschreven op persoonlijke titel. 13
Keteninitiatieven met kans van slagen
Professioneel artikel Keteninitiatieven met kans van slagen T. Visser Journal of Chain-computerisation Information Exchange for Chain Co-operation 2012 Volume 3, Art. #6 Ontvangen: 8 november 2012 Geaccepteerd:
Nadere informatieGrootschaligheid als uitdaging
Professioneel artikel Grootschaligheid als uitdaging M.G.A. Plomp Journal of Chain-computerisation Information Exchange for Chain Co-operation 2012 Volume 3, Art. #3 Ontvangen: 8 november 2012 Geaccepteerd:
Nadere informatiePrivacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3
PRIVACYREGLEMENT Inhoudsopgave Voorwoord... 2 Privacybepalingen... 3 1. Begripsbepalingen... 3 2. Toepassingsgebied... 3 3. Doel van de verwerking van persoonsgegevens... 4 4. Verwerking van Persoonsgegevens...
Nadere informatiePrivacy in ketens Recht doen aan privacybescherming op ketenniveau
Professioneel artikel Privacy in ketens Recht doen aan privacybescherming op ketenniveau M. van der Veen Journal of Chain-computerisation Information Exchange for Chain Co-operation 2014 Volume 5, Art.
Nadere informatieIn de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Ministerie van Volksgezondheid, Welzijn en
Nadere informatie1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Privacyreglement Stichting de As Inleiding en doel Bij Stichting de As worden persoonsgegevens van zowel patiënten als van medewerkers verwerkt. Het gaat daarbij vaak om zeer privacygevoelige gegevens
Nadere informatieOpleiding FG. De belangrijkste wettelijke kaders. Luuk Arends (advocaat)
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat) Wat staat er op het program? We hebben al 1-7-2017 1-1-2018 En wat nog meer? artikel 8 EVRM artikel 10 Grondwet 1. Ieder heeft, behoudens
Nadere informatieWerkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling
Werkwijze DGSenB voor rechtmatige en gestructureerde gegevensuitwisseling Versie 1.0-1 juni 2017 Ten geleide Voorliggend document betreft een werkwijze voor rechtmatige en gestructureerde gegevensdeling;
Nadere informatiePRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM
PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG117-0047HRM Inhoudsopgave 1 2 Inleiding... 3 1.1 Overwegingen... 3 1.2 Uitgangspunten... 4 1.3 Begripsbepalingen...
Nadere informatiePrivacybeleid.
Privacybeleid www.senzer.nl Privacybeleid Senzer Senzer werkt met persoonsgegevens van burgers, medewerkers en (keten)partners om wettelijke taken goed uit te voeren. Iedereen moet erop kunnen vertrouwen
Nadere informatiePrivacy dit moet je weten over de wet
Privacy dit moet je weten over de wet Om de privacy van leerlingen en medewerkers optimaal te beschermen, is het belangrijk om te weten wat er precies in de wet staat. In Nederland is de privacybescherming
Nadere informatie1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
PRIVACY REGLEMENT 1. Algemene bepalingen Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens / Bijzondere
Nadere informatiePrivacyreglement Cliënten Ons Tweede Thuis. Vastgesteld September 2015 (met tekstuele wijzigingen AVG 25 mei 2018)
Privacyreglement Cliënten Ons Tweede Thuis Vastgesteld September 2015 (met tekstuele wijzigingen AVG 25 mei 2018) Inhoud 1. Inleiding... 3 1.1 Doel van het reglement... 3 2. Algemene bepalingen... 3 2.1
Nadere informatiePersoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.
Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare
Nadere informatiePrivacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf
Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf Uitgangspunten: Het bedrijf gaat op een veilige manier met persoonsgegevens om en respecteren de privacy van betrokkenen. Het bedrijf
Nadere informatieAVG en omgaan met informatie
AVG en omgaan met informatie Mr Jolanda J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem RELEVANTE REGELINGEN Wet op de geneeskundige behandelingsovereenkomst; Handreiking verantwoordelijkheidsverdeling
Nadere informatiede Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.
Privacy Beleid Binnen de Finenzo Alkmaar, gevestigd aan de Keesomstraat 6-e te Alkmaar, wordt veel gewerkt met persoonsgegevens van betrokkenen, medewerkers en (keten)partners. Persoonsgegevens zijn gegevens
Nadere informatiePrivacyreglement Revalidatiecentrum Haaglanden
Privacyreglement Revalidatiecentrum Haaglanden Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:
Nadere informatieWettelijke kaders voor de omgang met gegevens
PRIVACY BELEID SPTV Namens SPTV wordt veel gewerkt met persoonsgegevens van (ex-) medewerkers. De persoonsgegevens worden voornamelijk verzameld voor het goed uitvoeren van de pensioenregelingen. De (ex-)
Nadere informatiec) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
Privacyreglement ArboVitale ArboVitale vindt het belangrijk dat u uitleg krijgt over hoe ArboVitale persoonsgegevens beschermt en hoe onze medewerkers om gaan met privacygevoelige informatie. Paragraaf
Nadere informatiePrivacyverklaring Therapeuten VVET
Privacyverklaring Therapeuten VVET Versie 25-05-2018 1 Inhoudsopgave 1. Inleiding... 3 2. Wetgeving... 3 3. Definities... 3 4. Reikwijdte... 4 5. Verantwoordelijke... 4 6. Verwerkingen (Artikel 4, AVG)...
Nadere informatieInformatie over privacywetgeving en het omgaan met persoonsgegevens
Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over
Nadere informatieVerantwoordelijkheden in de praktijk
Verantwoordelijkheden in de praktijk Mr Jolanda J.A. van Boven VAN BOVEN Juridisch Adviesbureau Arnhem RELEVANTE REGELINGEN Wet op de geneeskundige behandelingsovereenkomst; Handreiking verantwoordelijkheidsverdeling
Nadere informatieSamenwerkingsverbanden en de AVG
Realisatie Handreiking Samenwerkingsverbanden en de AVG Deel 1 - Verwerkingsverantwoordelijke Inhoudsopgave 1 Inleiding...3 2 Verwerkingsverantwoordelijke...4 2.1 Wat zegt de AVG?...4 2.2 Wat betekent
Nadere informatiePrivacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:
Privacyreglement Spoor 3 BV Artikel 1. Begripsbepalingen Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder: de wet: de Wet bescherming persoonsgegevens (Wbp) het reglement:
Nadere informatiePrivacyverklaring Stichting Speelotheek Pinoccio
1 Inhoudsopgave 1 Inleiding 2 1.1 Doel 2 1.2 Reikwijdte 2 1.3 Evaluatie en herziening Privacyverklaring 2 2 Uitgangspunten en principes 2 3 Persoonsgegevens 3 3.1 Algemene persoonsgegevens 3 3.2 Verwerkingsprocessen
Nadere informatiePrivacybeleid gemeente Wierden
Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk
Nadere informatiePRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTE NIJKERK
BIJLAGE 2 PRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTE NIJKERK Inleiding Dit privacyreglement beschrijft hoe en onder welke voorwaarden gegevensverwerking plaatsvindt door de aangesloten
Nadere informatie'nader gebruik' van persoonsgegevens voor wetenschappelijk onderzoek
COREON Statement 1 'nader gebruik' van persoonsgegevens voor wetenschappelijk onderzoek Samenvatting Een van de beginselen van de AVG is het doelbindingsbeginsel (artikel 5.1b AVG). Persoonsgegevens mogen
Nadere informatiePrivacy policy: Uw persoonsgegevens en uw privacy in onze praktijk Bureau VIER-V
Privacy policy: Uw persoonsgegevens en uw privacy in onze praktijk Bureau VIER-V Inleiding Bureau VIER-V hecht veel waarde aan de bescherming van uw persoonsgegevens. In deze privacy policy willen we heldere
Nadere informatiemhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen
mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen Agenda mhealth en privacy: wanneer mogen er medische persoonsgegevens verwerkt worden? Hoe ziet het toezicht van de Autoriteit Persoonsgegevens
Nadere informatiePRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTEN FOODVALLEY
Behorend bij BIJLAGE 4 deelovereenkomst Jeugdhulp FoodValley PRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTEN FOODVALLEY Inleiding Dit privacyreglement beschrijft hoe en onder welke
Nadere informatiePrivacy beleid. Podotherapie Stap Pijlkruidhof BK Nuenen tel:
Podotherapie Stap Pijlkruidhof 2 5672 BK Nuenen tel: KVK nummer: 70814988 t.n.v. D.L.M. Hoebink 1. Algemeen De Algemene verordening gegevensbescherming (AVG) is de nieuwe wet ter bescherming van privacy
Nadere informatiePrivacyreglement. ALTRA Jeugd- en Opvoedhulp
Privacyreglement ALTRA Jeugd- en Opvoedhulp 1 Vastgesteld MT Altra 11 november 2016 INHOUDSOPGAVE Algemene bepalingen 1. Begripsbepalingen 2. Reikwijdte Rechtmatige verwerking persoonsgegevens 3. Doel
Nadere informatiePrivacybeleid Beckers Financieel Advies
Privacybeleid Beckers Financieel Advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens
Nadere informatiePrivacy in de afvalbranche
Privacy in de afvalbranche Regelgeving en risico s Monique Hennekens 14 februari 2017 Inhoud Privacy in de afvalbranche Privacyregelgeving Persoonsgegeven en verwerking Algemene Verordening Gegevensbescherming
Nadere informatieVersie Wijzigingen Datum 1.1 VNG Realisatie lay-out
Privacybeleid IBD Versiebeheer Versie Wijzigingen Datum 1.1 VNG Realisatie lay-out 16-4-2018 Over de IBD De IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT
Nadere informatieOok zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN de Minister van Justitie DATUM 2
Nadere informatiePrivacyreglement Medewerkers Welzijn Stede Broec
Privacyreglement Medewerkers Welzijn Stede Broec 1 Inhoudsopgave Inhoudsopgave... 2 Algemene bepalingen... 3 Artikel 1 Begripsbepalingen... 3 Artikel 2 Reikwijdte en doel van het reglement... 4 Artikel
Nadere informatieWet Bescherming Persoonsgegevens (Wbp)1, vanaf 25 mei 2018 vervangen door de Europese Verordening; de Algemene Verordening Gegevensbescherming (AVG)
Privacybeleid Adviesbureau Brekelmans Binnen Adviesbureau Brekelmans wordt gewerkt met persoonsgegevens van opdrachtgevers, medewerkers en contactpersonen binnen bedrijven waarmee veelvuldig wordt samengewerkt.
Nadere informatieInleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...
PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige
Nadere informatiede minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus 20101 2500 EC Den Haag Ministeriële regeling afsluitingen
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN de minister van Economische Zaken,
Nadere informatieKadernotitie voor Gegevensverwerking en Privacybescherming Sociaal Domein gemeente Assen. mei 2015
Kadernotitie voor Gegevensverwerking en Privacybescherming Sociaal Domein gemeente Assen mei 2015 1. Inleiding Het college van burgemeester en wethouders van Assen schetst in deze kadernotitie de gemeentelijke
Nadere informatiePrivacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen
Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Erasmus School of Law/Erasmus Medisch Centrum Erasmus Universiteit Rotterdam buijsen@bmg.eur.nl Onderwerpen Uitgangspunten
Nadere informatiePrivacyreglement CURA XL
Artikel 1. Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan
Nadere informatiePROTOCOL. Onze vereniging
PROTOCOL Algemene verordening gegevensbescherming Onze vereniging protocol Avg Senioren Politie Twente (2) 1. Inleiding en begripsbepalingen Binnen Onze vereniging, verder te noemen ONZE VERENIGING, wordt
Nadere informatiePrivacybeleid Today s Groep
Privacybeleid Today s Groep Onder de Today s Groep vallen Today s Vermogensbeheer en For Tomorrow Binnen Today s wordt veel gewerkt met persoonsgegevens. Persoonsgegevens worden voornamelijk verzameld
Nadere informatieAlgemene verordening gegevensbescherming
17 november 2018 Nancy Putman NGTV-kring Noord- en Oost Nederland Algemene verordening gegevensbescherming Even voorstellen Myriapodo Privacy is niet hetzelfde als privacywetgeving Privacy is recht op
Nadere informatieAutisme Spiegel, Marijkelaan 2, 3851 RN Ermelo, adres:
Privacy Reglement Autisme Spiegel (2018) Autisme Spiegel 25-5-2018 Doel van het reglement De Wet Bescherming Persoonsgegevens vereist dat persoonsgegevens in overeenstemming met de wet op behoorlijke en
Nadere informatiePROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag
PROTOCOL Algemene verordening gegevensbescherming Vereniging van Gepensioneerden van de eenheid Den Haag protocol Avg VGHP v1.0.11-05 1. Inleiding en begripsbepalingen Binnen de Vereniging van Gepensioneerden
Nadere informatieWettelijke kaders voor de verwerking van persoonsgegevens
Privacybeleid Kempen advies Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten. Persoonsgegevens worden voornamelijk
Nadere informatieRSM NEDERLAND PRIVACY VERKLARING
RSM NEDERLAND PRIVACY VERKLARING Inhoud 1. WAAROM MAKEN WE GEBRUIK VAN UW PERSOONLIJKE GEGEVENS?... 3 2. WELKE UITGANGSPUNTEN HANTEREN WE?... 3 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. RECHTMATIGHEID,
Nadere informatieCursus privacyrecht Jeroen Naves 7 september 2017
Cursus privacyrecht Jeroen Naves 7 september 2017 Juridisch kader 1. Relationele privacy: eer en goede naam (grondwet/evrm), portretrecht (Auteurswet), gezinsleven (EVRM) 2. Communicatie-privacy: briefgeheim
Nadere informatieInformatie over privacywetgeving en het omgaan met persoonsgegevens
Informatie over privacywetgeving en het omgaan met persoonsgegevens Inleiding Op 1 september 2001 is de Wet Bescherming Persoonsgegevens (WBP) in werking getreden. Hiermee werd de Europese Richtlijn over
Nadere informatiePersoonsgegevens in de zorg 2019 (AVG)
Persoonsgegevens in de zorg 2019 (AVG) Inhoud Wat zijn persoonsgegevens? o Voorbeelden van persoonsgegevens o Bescherming van persoonsgegevens Bewaren van persoonsgegevens o Vernietiging of archiveren
Nadere informatiePRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.
PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige
Nadere informatiePRIVACYVERKLARING 1. WERKINGSSFEER
PRIVACYVERKLARING 1. WERKINGSSFEER Met deze privacyverklaring legt Geldservice Nederland B.V. ('GSN') uit op welke wijze GSN met uw persoonsgegevens omgaat die zij ontvangt. Deze privacyverklaring is van
Nadere informatieHandreiking bescherming persoonsgegevens cliënten
Handreiking bescherming persoonsgegevens cliënten 1. Inleiding Binnen SDW worden conform wet- en regelgeving persoonsgegevens verwerkt van cliënten, hun vertegenwoordigers of contactpersonen en anderen
Nadere informatieAddendum Privacy Policy voor patiënten
Addendum Privacy Policy voor patiënten Algemeen De AVG is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde
Nadere informatiePersoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
Algemene bepalingen Begripsomschrijving: Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Gezondheidsgegevens Persoonsgegevens die direct of indirect
Nadere informatiePrivacy wetgeving in een notendop
Privacy wetgeving in een notendop Wet Bescherming Persoonsgegevens (Wbp) (geldig tot 25 mei 2018) De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn als volgt samen
Nadere informatieKeteninformatisering en privacy
Wetenschappelijk artikel Keteninformatisering en privacy M. van der Veen Journal of Chain-computerisation Information Exchange for Chain Co-operation 2011 Volume 2, Art. #11 Ontvangen: 1 maart 2011 Geaccepteerd:
Nadere informatie1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.
Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:
Nadere informatiePrivacyreglement Stichting Fonds Hartewensen Vastgesteld 30 november Privacyreglement Stichting Fonds Hartewensen
1. Algemene bepalingen 1.1. Doel Het zorgvuldig en vertrouwelijk omgaan met persoonsgegevens van cliënten, medewerkers en derden is onderdeel van de dagelijkse werkzaamheden binnen Stichting Fonds Hartewensen
Nadere informatieMODEL YOOST BV PRIVACYBELEID
MODEL PRIVACYBELEID YOOST BV 25-05-2018 Privacybeleid Yoost BV Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke
Nadere informatieDeze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.
De AVG voor de zorg: 12 vragen en antwoorden Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector. 1. Wat is de AVG? De Algemene verordening
Nadere informatieModel privacybeleid 2
Privacybeleid Model privacybeleid 2 Privacybeleid de Kredieter Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke
Nadere informatiePrivacyreglement. Algemene bepalingen. Doelstelling
Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing
Nadere informatieUitwisseling van medische gegevens en patiënttoestemming
Uitwisseling van medische gegevens en patiënttoestemming Gerrit Open Podium XDS 11 december 2014 Jet van Mourik Juridisch adviseur & Compliance Officer Antonius Zorggroep Privacy in de Antonius Zorggroep,
Nadere informatieDental Medical Care BV. Privacy statement
Privacy statement Inleiding In dit document wordt uitleg gegeven over de bescherming van privacygevoelige informatie in de zin van de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet
Nadere informatiePrivacyprotocol. dat de veiligheid van de jeugdige altijd voorop staat en het belang van het kind de eerste overweging moet zijn (art 3 IVRK);
Privacyprotocol Protocol Gegevensdeling in het sociale domein JEUGD FOODVALLEY Gelet op: In het bijzonder: Artikel 1 IVRK Artikel 8 EVRM en artikel 10 Grondwet; De Algemene wet bestuursrecht; De Algemene
Nadere informatieBijlage bij de Deelovereenkomsten inkoopnetwerk Jeugd FoodValley. REGLEMENT Gegevensdeling in het sociale domein JEUGD FOODVALLEY
Bijlage bij de Deelovereenkomsten inkoopnetwerk Jeugd FoodValley REGLEMENT Gegevensdeling in het sociale domein JEUGD FOODVALLEY De ondergetekenden: De Colleges van Burgemeester en Wethouders van de Gemeente
Nadere informatieElektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011
Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk Anton Ekker juridisch adviseur, Nictiz 20 mei 2011 Elektronische gegevensuitwisseling in de zorg De zorgverlener is verplicht om een
Nadere informatiePrivacystatement Knac Nationale Autosport Federatie (KNAF)
Privacystatement Knac Nationale Autosport Federatie (KNAF) Inhoudsopgave Artikel 1 Begripsbepalingen... 2 Artikel 2 Doelstelling....3 Artikel 3 Soorten persoonsgegevens....3 Artikel 4 Beheer en toegang
Nadere informatieInformatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden
Informatiegids Wet Bescherming Persoonsgegevens (Wbp) voor NOAB leden 1 INLEIDING... 3 DE WBP... 3 1 PERSOONSGEGEVENS... 3 1.1 WAT ZIJN GEGEVENS EN WELKE EISEN STELT DE WET AAN GEGEVENS... 3 1.2 VERWERKEN
Nadere informatiePrivacy beleid De Kompanjie
Privacy beleid De Kompanjie Binnen de gemeenten Veendam en Pekela en binnen de gemeenschappelijke regeling de Kompanjie wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners.
Nadere informatiePrivacyreglement ZorgFamilie
Privacyreglement ZorgFamilie Inhoudsopgave Algemene bepalingen Art 1. Begripsbepalingen Art 2. Reikwijdte Art 3. Doel Rechtmatige verwerking persoonsgegevens Art 4. Voorwaarden voor rechtmatige verwerking
Nadere informatie1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1. Algemene bepalingen Artikel 1: Begripsbepalingen: 1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens: Persoonsgegevens
Nadere informatieViiZ. ViiZ. Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID
ViiZ ViiZ Validatie instituut inkomensvaststelling Zelfstandigen PRIVACYBELEID Privacybeleid ViiZ Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten. Ook verwerken wij persoonsgegevens
Nadere informatiePrivacyreglement OCA(Zorg)
Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens
Nadere informatieExtern Privacy protocol
Extern Privacy protocol Versie 1.0 Goedgekeurd door Bestuur PeriScaldes Datum 28 maart 2018 Verantwoordelijk Bestuur Herzien per November 2018 Privacy protocol Versie 1.0 Pagina 1 van 6 Inleiding PeriScaldes
Nadere informatiePRIVACY BELEID. Privacy Beleid Frits van der Werff Paramedisch
PRIVACY BELEID Algemeen De AVG is de nieuwe wet ter bescherming van privacy en persoonsgegevens. Op grond van deze wet heeft een organisatie die met persoonsgegevens werkt bepaalde plichten en heeft degene
Nadere informatiePRIVACY REGLEMENT SDW
PRIVACY REGLEMENT SDW INHOUDSOPGAVE 1. Inleiding... 2 2. Toepassingsgebied... 2 3. Begripsbepaling... 3 4. Verwerking van persoonsgegevens... 3 4.1. Voorwaarden voor rechtmatige verwerking persoonsgegevens...
Nadere informatiePrivacyreglement Spaarne Gasthuis voor patiënten en medewerkers
Privacyreglement Spaarne Gasthuis voor patiënten en medewerkers Afdeling : centraal protocol Documenttype: reglement Versie : 1 Vervaldatum: Eigenaar: Raad van bestuur Auteur: Angelo Clous Beoordelaar:
Nadere informatiePRIVACY REGLEMENT ORIONIS WALCHEREN
PRIVACY REGLEMENT ORIONIS WALCHEREN Versie 1.0 d.d. 14-03-2018 0 Inhoud 1. Inleiding... 2 2. Wetgeving en definities... 2 3. Reikwijdte... 3 4. Verantwoordelijke... 3 5. Verwerkingen... 3 6. Transparantie
Nadere informatiePrivacy en de meldplicht datalekken
Privacy en de meldplicht datalekken Regelgeving en praktische toepassingen Monique Hennekens november 2017 Privacyregelgeving EVRM en Grondwet Wet bescherming persoonsgegevens (Wbp) Bijzondere wetten Algemene
Nadere informatiePrivacy in de afvalbranche Juridisch kader
Privacy in de afvalbranche Juridisch kader Marieke Thijssen en Monique Hennekens Seminar Privacy in de afvalbranche 1 december 2016 Privacyregelgeving Grondwet Wet bescherming persoonsgegevens Bijzondere
Nadere informatiePrivacyreglement Fysiotherapiepraktijk CG Uw persoonsgegevens en uw privacy in onze fysiotherapiepraktijk: uw rechten en onze plichten.
Privacyreglement Fysiotherapiepraktijk CG Uw persoonsgegevens en uw privacy in onze fysiotherapiepraktijk: uw rechten en onze plichten. Achtergrond De AVG is de nieuwe wet ter bescherming van privacy en
Nadere informatiePrivacy Protocol van vereniging
Privacy Protocol van vereniging 1 Inleiding en begripsbepalingen Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing voor alle organisaties die gegevens van personen (persoonsgegevens)
Nadere informatieDe Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan
De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan Jolien Dewaele, 25 januari 2018 De Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR)
Nadere informatieDe minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN De minister van Sociale Zaken en
Nadere informatie1. Begripsbepalingen In dit reglement wordt verstaan onder:
Privacyreglement Datum: 19 september 2018 Van: stichting Welzijn Capelle, 010 707 49 00 1. Begripsbepalingen In dit reglement wordt verstaan onder: de wet: Algemene Verordening Gegevensbescherming (AVG)
Nadere informatiePrivacybeleid Financiele Dienstverlening Vecht en Venen
Privacybeleid Financiele Dienstverlening Vecht en Venen Binnen ons bedrijf wordt veel gewerkt met persoonsgegevens van klanten en daarnaast ook met persoonsgegevens van werknemers van zakelijke klanten.
Nadere informatieBetrokkenen moeten erop kunnen vertrouwen dat SUREbusiness zorgvuldig en veilig met de ontvangen persoonsgegevens omgaat.
Privacybeleid SUREbusiness Binnen ons bedrijf wordt gewerkt met persoonsgegevens van relaties. Ook verwerken wij persoonsgegevens van onze eigen medewerkers. De persoonsgegevens van onze werknemers verwerken
Nadere informatiePrivacyreglement Esma dienstverlening (februari 2018)
Privacyreglement (februari 2018) Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct
Nadere informatie1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking
Nadere informatieDefinitieve versie d.d. 24 mei Privacybeleid
Definitieve versie d.d. 24 mei 2018 Privacybeleid Procedure: MT/DB besluit d.d. 24 mei 2018 INLEIDING Binnen Rentree wordt gewerkt met persoonsgegevens van huurders, medewerkers en (keten)partners. Persoonsgegevens
Nadere informatieIntroductie Extended Enterprise
Redactioneel Introductie Extended Enterprise M. van den Berg Journal of Chain-computerisation Information Exchange for Chain Co-operation 2013 Volume 4, Art. #6 Ontvangen: 1 maart 2013 Geaccepteerd: 1
Nadere informatieHet CBP voldoet hierbij aan dit verzoek. Kader
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Ministerie van Volksgezondheid, Welzijn en
Nadere informatie