Welkom bij de workshop Privacyzorgen in de zorg

Transcriptie

1 Welkom bij de workshop Privacyzorgen in de zorg Lesley Broos, advocaat IE, ICT & Privacy Eveline van Andel, advocaat gezondheidsrecht 11 april 2017

2 Team Privacy: Tijs Weustenraad Eveline van Andel Yvonne Nijhuis Lesley Broos Lisette Hesselink Corianne Netze-Ritsema

3 Inleiding Bron: zorgnu.avrotros.nl Bron: Bron: J. Budding

4 Inleiding Bron: P. Van Beurden Bron: J. Kraan Bron: K. Van Teeffelen Bron: B. Kiers

5 Programma Hoofdlijnen Wet bescherming persoonsgegevens (Wbp) o Wet meldplicht datalekken Toekomstige Europese Privacy Verordening (AVG) o Gevolgen voor de zorg Gegevensuitwisseling in de zorg; medisch beroepsgeheim Toekomstige wetgeving in de zorg o Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg o Besluit elektronische gegevensuitwisseling tussen zorgaanbieders Afsluiting: wat betekent dit voor zorgaanbieders?

6 Belangrijke begrippen Wbp Persoonsgegevens, betrokkene, verwerking, verantwoordelijke, bewerker Voorbeeld: Leverancier host EPD van ziekenhuis. Medische gegevens in EPD = (bijzondere) persoonsgegevens Patiënt = betrokkene Bijhouden, verwerken, inzien, opslaan, verwijderen etc = verwerking Ziekenhuis = verantwoordelijke Leverancier = bewerker Vraag: is systeembeheerder op IT-afdeling ziekenhuis een bewerker?

7 Gezondheidsgegevens? Stringenter regime van bijzondere persoonsgegevens van toepassing! In beginsel verbod op verwerking bijzondere persoonsgegevens: gegevens met gevoelig karakter, zoals godsdienst, ras, politieke gezindheid en gezondheid Artikel 21 Wbp: het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken is niet van toepassing indien de verwerking geschiedt door: hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is

8 Basisprincipes Wbp (I) in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden op een wijze die verenigbaar is met die doeleinden ( doelbinding ) op basis van (tenminste een) wettelijke grondslag

9 Limitatieve verwerkingsgrondslagen (art. 8 Wbp) ondubbelzinnige toestemming noodzakelijk i.v.m. uitvoering overeenkomst noodzakelijk i.v.m. wettelijke verplichting noodzakelijk ter vrijwaring vitaal belang betrokkene noodzakelijk i.v.m. goede vervulling publiekrechtelijk taak (i.g.v. bestuursorgaan) gerechtvaardigd belang verantwoordelijke/derde tenzij fundamentele rechten en vrijheden zich tegen verwerking verzet

10 Basisprincipes Wbp (II) Dataminimalisatie- en datavernietigingsplicht o Niet meer verwerken / langer bewaren dan noodzakelijk voor doeleinden Geheimhoudingsplicht Data-integriteitsplicht ( juist en nauwkeurig ) Beveiligingsplicht Bewerkersovereenkomsten Meldplicht Autoriteit Persoonsgegevens o Optioneel: privacyfunctionaris Rechten van betrokkenen (deels ook in Wgbo) o Informatie, inzage, correctie, verwijdering, verzet Data-export verboden, tenzij

11 Wet meldplicht datalekken Sinds 1 januari 2016 geldt de Meldplicht datalekken in Nederland: Voor wie? Voor alle verantwoordelijken in de zin van de Wbp (o.a. zorgaanbieders) Wanneer? Indien er een kans bestaat dat een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens

12 Wet meldplicht datalekken Regelmatig voorkomende datalekken: Een cliënt ziet in een cliëntenportaal de gegevens van iemand anders Iemand raakt een USB-stick of andere gegevensdrager kwijt waarop persoonsgegevens staan. De persoonsgegevens zijn dan vaak niet versleuteld Een laptop of smartphone waar persoonsgegevens op staan wordt gestolen Een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug Een met persoonsgegevens komt bij de verkeerde ontvanger terecht Bron: Autoriteit persoonsgegevens, Factsheet Facts & Figures meldplicht datalekken 2016.

13 Wet meldplicht datalekken Vraag: Hoeveel datalekken zijn er gemeld in de periode 1 januari december 2016?

14 Wet meldplicht datalekken In de periode 1 januari tot en met 15 december 2016 zijn bijna 5500 datalekken gemeld aan de Autoriteit Persoonsgegevens! Bron: Autoriteit persoonsgegevens, Factsheet Facts & Figures meldplicht datalekken 2016

15 Wet meldplicht datalekken Wat betekent dit voor de zorginstelling? Indien inbreuk op de beveiliging met aanzienlijke (kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens: o Onverwijld (binnen 72 uur) datalek melden bij Autoriteit Persoonsgegevens Indien waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene: óók informeren betrokkene Dit laatste NIET als persoonsgegevens bijv. versleuteld zijn! (zie art. 34a lid 6)

16 Wet meldplicht datalekken Wat betekent dit voor de zorginstelling? Verplichting tot het bijhouden van een logboek van datalekken (feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene) Gevolg niet naleven meldplicht: boete van de Autoriteit Persoonsgegevens tot ,= of maximaal 10% van de jaaromzet

17 Inwerkingtreding: 25 mei 2018 Europese Privacy Verordening Ook wel Algemene verordening gegevensbescherming genoemd (afgekort: AVG) Artikel 5 Beginselen Rechtmatigheid, behoorlijkheid en transparantie Doelbinding Minimale gegevensverwerking Juistheid Opslagbeperking Integriteit en vertrouwelijkheid Verantwoordingsplicht

18 Europese Privacy Verordening Wijzigingen t.o.v. Wbp (relevant voor zorg): Meldplicht gegevensverwerking bij Autoriteit Persoonsgegevens vervalt, maar: verantwoording afleggen over persoonsgegevensverwerkingen (documentatie- en registerplicht) Alle datalekken registreren Indien een risico waarschijnlijk: melden bij Autoriteit Persoonsgegevens Indien hoog risico waarschijnlijk: tevens melden bij betrokkene (tenzij ) o Boete: 10 miljoen euro of 2 % van de totale wereldwijde omzet

19 Europese Privacy Verordening PIA verplicht ingeval uw organisatie: o systematisch en uitgebreid persoonlijke aspecten van betrokkenen beoordeelt, zoals het gebruik maken van profilering o grootschalig gevoelige persoonsgegevens (bv. gezondheid) verwerkt o stelselmatig en grootschalig betrokkenen volgt in een openbare ruimte, bijvoorbeeld met cameratoezicht Uitbreiding categorieën bijzondere persoonsgegevens: etnische achtergrond, genetische gegevens en biometrische gegevens ter identificatie van een persoon zoals vingerafdrukken Informed consent: meer waarborgen o beknopt, transparant, begrijpelijk, gemakkelijk toegankelijk, duidelijk, eenvoudig o Expliciete dubbele toestemming: voor de verwerking van persoonsgegevens binnen een elektronisch uitwisselingssysteem voor het uitwisselen van gegevens van zorgcliënten met anderen dan de rechtstreeks betrokken behandelaars

20 Europese Privacy Verordening Verdergaande rechten betrokkenen (bv. recht om vergeten te worden of de overdraagbaarheid van persoonsgegevens) Verplichtingen voor verantwoordelijke indien gebruik wordt gemaakt van een bewerker: bv. uitvoeren van een bewerker due diligence Herbeoordeling van uw bewerkersovereenkomsten nodig! Gegevensbescherming door ontwerp en door standaardinstellingen Privacy by design / by default Samenwerking toezichthouders en uitbreiding boetemogelijkheden tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet.

21 Europese Privacy Verordening Verplichting tot aanstellen privacyfunctionaris voor: o overheden o organisaties die op grote schaal persoonsgegevens verwerken o organisaties die op grote schaal gevoelige persoonsgegevens verwerken Expliciete informatieverplichtingen voor verantwoordelijke o Denk aan bijv. bewaartermijn, contactgegevens, etc. o Maar ook: recht op inzage, correctie, vergetelheid, bezwaar en overdraagbaarheid Privacy statement?

22 Gevolgen voor de zorg? Europese Privacy Verordening Geen melding persoonsgegevensverwerking bij Autoriteit Persoonsgegevens Meer waarborgen dubbele toestemming Privacyfunctionaris verplicht Uitbreiding bijzondere persoonsgegevens: o Genetische gegevens o biometrische gegevens ter identificatie van een persoon Uitbreiding rechten betrokkenen o Recht op overdracht gegevens o Recht om vergeten te worden o Recht op beperking van verwerking Uitvoeren van PIA Herzien bewerkersovereenkomsten (Nog) hogere boetemogelijkheden Autoriteit Persoonsgegevens!

23 Gegevensuitwisseling in de zorg; medisch beroepsgeheim In welke wetten is het medisch beroepsgeheim te vinden?

24 Gegevensuitwisseling in de zorg; medisch beroepsgeheim Hoofdregels Artikel 10 Grondwet Artikel 88 Wet BIG Artikel 272 Wetboek van Strafrecht Artikel Wmo Artikel Jeugdwet Artikel 7:457 Burgerlijk Wetboek (WGBO)

25 Gegevensuitwisseling in de zorg; medisch beroepsgeheim Nee, tenzij.. Toestemming Wettelijke plicht (Wet op de Lijkbezorging, Wkkgz, JW, Zvw, Wmg) Conflict van plichten (aangifte wanneer ernstig gevaar dreigt) Zwaarwegend belang (conflict over testament / medische fout) Veronderstelde toestemming (doorverwijzen naar een specialist) KNMG Richtlijn inzake omgaan met medische gegevens 2016

26 Toekomstige wetgeving in de zorg Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Besluit elektronische gegevensuitwisseling tussen zorgaanbieders

27 Wet aanvullende bepalingen verwerkingen persoonsgegevens zorg Ook bekend als: Wetsvoorstel cliëntenrechten bij elektronische verwerking gegevens Aanvulling eisen digitale gegevensuitwisseling in de zorg uitgewerkt in: de Wet gebruik Burgerservicenummer in de zorg de Wet bescherming persoonsgegevens de Zorgverzekeringswet de Wet marktordening gezondheidszorg

28 Wet aanvullende bepalingen verwerkingen persoonsgegevens zorg Derden bevoegd tot het verwerken van het BSN Zorgverlener moet cliënt uitdrukkelijke toestemming vragen voor het elektronisch beschikbaar stellen van medische gegevens, die te raadplegen zijn door andere zorgverleners die zijn aangesloten op het elektronische uitwisselingssysteem Verbod toegang tot het elektronisch uitwisselingssysteem voor zorgverzekeraars, bedrijfs-, verzekerings- en keuringsartsen. Bij overtreding doet zorgaanbieder mededeling aan de Nza

29 Wet aanvullende bepalingen verwerkingen persoonsgegevens zorg Enkele bepalingen treden 3 jaar later in werking: Recht op elektronische inzage in en afschrift dossier (kosteloos) Recht op afschrift namen en data beschikbaar stellen en raadplegen dossier (inzage in logging) De cliënt dient gespecificeerde toestemming te geven voor het beschikbaar stellen van medische gegevens in elektronische uitwisselingsysteem Bepaalde gegevens / bepaalde categorieën zorgaanbieders Ook registratie bijhouden van toestemming

30 Besluit elektronische gegevensuitwisseling tussen zorgaanbieders Van kracht vanaf inwerkingtreding van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg Stelt specifieke functionele, technische en organisatorische eisen aan elektronische gegevensuitwisseling: Veilig en zorgvuldig gebruik van het zorgnetwerk overeenkomstig eisen NEN normen 7510, 7512 en 7513 (en 7521) voor beveiliging (+ eventueel ISO normen) Overeenkomst met zorgserviceprovider (NEN 7510) Privacyfunctionaris verplicht Zorgaanbieders + patiëntenorganisaties + Autoriteit Persoonsgegevens stellen bewaartermijn voor logging gegevens vast binnen 6 maanden na van kracht worden van Besluit

31 Tips & tricks Informatiebeveiligingsbeleid inrichten en implementeren naar nieuwe regels op gebied van privacy Maken van richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek draaiboek! Zorg dat beveiliging op orde is, zowel technisch als ook organisatorisch (NEN + ISO normen) Eindverantwoordelijke voor het beveiligingsbeleid Stel contractueel aanvullende eisen vast omtrent informatiebeveiliging voor medewerkers Risico bij niets doen: Verantwoordelijke aansprakelijk! Gevolg: hoge boetes, reputatieschade en claims

32 Contact Lesley Broos Advocaat Intellectuele eigendom, ICT-recht & Privacy T M E lesley.broos@kienhuishoving.nl Eveline van Andel Advocaat Gezondheidsrecht T M E eveline.vanandel@kienhuishoving.nl Pantheon 25 Postbus AC Enschede T: +31(0) F: +31(0)

33