Mei 18 INLEIDING INFORMATIEVEILIGHEID. Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra

Transcriptie

1 Mei INLEIDING INFORMATIEVEILIGHEID Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra

2 PETER BERGHMANS Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute 2

3 LESSENREEKS 5: KLAAR VOOR GDPR > Deel 1: Gegevensbescherming en informatieveiligheid > Deel 2: De stappen voor implementatie van gegevensbescherming Stap 1: Bewustwording en Governance Stap 2: Hoe stel ik een register op van verwerkingsactiviteiten? Stap 3: Hoe voer ik een gegevensbeschermingseffectenbeoordeling uit? Stap 4: Hoe meldt ik een inbreuk? Stap 5: Hoe ga ik om met verwerkers? Stap 6: Welke elementen moeten worden geïmplementeerd m.b.t. de rechten van de patiënt/betrokkene? > Oefening: het opstellen van een register > Deel 3: afsluitende vragenronde 3

4 OVERZICHT VAN DE OPLEIDING Informatieveiligheid in de ouderenzorg

5 DOELSTELLING VAN DE OPLEIDING > Een goed begrip krijgen van wat informatieveiligheid is binnen de context van WZC s > Woonzorgcentra begeleiden in de ontwikkeling van documenten inzake informatieveiligheid > Het ter beschikking stellen en toelichten van templates > Gelegenheid scheppen om hierover vragen te stellen 5

6 LEERDOELEN VOOR ELKE DEELNEMER > kent de voorwaarden voor het verwerken van gezondheidsgegevens > kan deze voorwaarden aftoetsen > kan deze verwerkingsvoorwaarden in een breder kader plaatsen, met name de relevante wetten en regels > Kent de basisbegrippen van informatieveiligheid > Kan een beleidshoofdstuk voor informatieveiligheid schrijven > Kan een informatieveiligheidsplan opstellen en onderhouden > Is in staat om de juiste vragen te stellen over de genomen technische maatregelen inzake informatieveiligheid > Kan een procedure uitschrijven en bewaken voor beleidsthema s > Heeft de kennis om een bewustwordingssessie in te vullen in een zorgorganisatie > Kan rollen en verantwoordelijkheden borgen binnen een zorgorganisatie 6

7 5 KERNDOMEINEN VAN DE OPLEIDING > Begrijpen wat een veiligheidsbeleid is & beheer ervan > De kernprincipes van COT implementeren Bewustwording en opzetten van een organisatiestructuur Beheer van identiteiten, toegangen en logging Beheer van een therapeutische/zorgrelatie Beheer van verwerkers zoals leveranciers Beheer van calamiteiten en incidenten > De basis technische veiligheidsmaatregelen begrijpen > Een plan opstellen m.b.t. informatieveiligheid > Dit plan integreren in de dagelijkse werking en hierover waken 7

8 HOE DOEN WE DIT? 8

9 SESSIE 1: INLEIDING INFORMATIEVEILIGHEID Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/ AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring 9

10 SESSIE2: COT EN MINIMALE VOORWAARDEN Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra 10

11 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier 11

12 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. 12

13 DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. 13

14 DEEL 5: WRAP UP: EEN STAP VERDER Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer 14

15 PRAKTISCHE AFSPRAKEN > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > In de presentatie staan hyperlinks Onderlijnde woorden Figuren 15

16 GEGEVENSBESCHERMING VS. INFOVEILIGHEID Gegevensbescherming in de ouderenzorg

17 17

18 OVERZICHT: WAT IS GDPR? Gegevensbescherming in de ouderenzorg

19 WAT IS GDPR? Transparant Toon aan patiënt/ toezichthouder dat je persoonsgegevens correct verwerkt Rechten Bijkomende rechten voor de betrokkene (beperkte toepassing in zorg) 25 mei 2018 Van kracht op alle organisaties, zonder uitstel Processen Bedrijfsprocessen om risico s te beheren: vb leveranciers & datalekken beheren DPO en alle medewerkers GDPR is voor iedereen, onder waakzaam oog DPO Afdwingbaar Sancties indien je de regels niet toepast Slides!opgemaakt door!https: Alle rechten voorbehouden 19

20 CODE OF CONDUCT ZORGT VOOR VERTALING Sector Verduidelijking Goedkeuring Toezicht Europees Code of conduct zorgt voor een vertaling van de regelgeving. Ze wordt opgesteld door federaties Vertaling van de GDPR principes en zorgen voor een juiste toepassing van de regelgeving De DPA keurt een nieuwe gedragscode of de wijziging daarvan goed Een toezicht door een federatie is mogelijk, na accreditatie door toezichthouder Een gedragscode is nationaal of internationaal van toepassing, afhankelijk van het internationaal karakter Slides!opgemaakt door!https: Alle rechten voorbehouden 20

21 DE IMPLEMENTATIE VAN GDPR IN OUDERENZORG Gegevensbescherming in de ouderenzorg

22 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 22

23 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 23

24 PRIVACY POLICY VS PRIVACY BELEID? > Opgelet, dit zijn geen vaste definities > Privacy policy: meestal de verklaring op een website of onthaal. > Is bedoeld als een kennisgeving naar de patiënt In het kader van de patiëntenrechten Maar ook in het kader van de wetgeving. In GDPR: - Artikel 13: Persoonsgegevens rechtstreeks verkregen - Artikel 14: Persoonsgegevens niet rechtstreeks bij de betrokkene verkregen 24

25 PRIVACY POLICY VS PRIVACY BELEID? > Privacy beleid: ook wel gegevensbeschermingsbeleid > Verplicht document in het kader van de GDPR > Intern beleid, vastgesteld door de directie Benoemt de belangrijkste principes rond gegevensbescherming die de directie nastreeft Omschrijft de verantwoordelijkheden binnen de organisatie Bekrachtigt dat de basisprincipes zoals benoemt in de GDPR worden toegepast, bijzondere aandacht voor risico gebaseerde aanpak - Niet willekeurig een opgelegde lijst met veiligheidsmaatregelen invoeren, maar obv risico analyse relevant maken voor de organisatie 25

26 INHOUD BELEID GEGEVENSBESCHERMING 1 Algemene doelstelling Gegevensbescherming Uitgangspunten van het veiligheidsbeleid, gekoppeld aan de missie en visie van de organisatie 2 Governance structuur - organisatiestructuur Wie krijgt welke verantwoordelijkheden bij het uitvoeren van het beleid voor gegevensbescherming? Zowel bij implementatie als bij uitvoering 3 De functionaris voor de gegevensbescherming Takenpakket, onafhankelijkheid, kennisniveau en tijdsbesteding moet verder worden toegelicht 4 Toepassing van het beleid gegevensbescherming op zorgnetwerken Gegevensbescherming en zorgnetwerken: scope en toepassingsgebied 26

27 VOORBEELDEN VAN EEN BELEID > Zie voorbeeld van een tekst 27

28 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 28

29 INFORMATIE OVER HET REGISTER Leeswijzer 29

30 WAAROM EEN REGISTER? > Vandaag: verwerkingsactiviteiten worden gemeld in een publiek register (aangifte) (consultatie aangifte) > Nieuw principe: aantonen dat je zicht hebt op verwerkingsprocessen door en intern register bij te houden 30

31 WAT IS HET REGISTER? > Bevat informatie over de verrichte verwerking met welk doel worden de gegevens verwerkt welke zijn de categorieën persoonsgegevens waarop de verwerkte gegevens betrekking hebben wie zijn de ontvangers van de gegevens welke is hun bewaartermijn etc. 31

32 Register volgens CBPL HET REGISTER OVERZICHT 32

33 HET WZC LEGT EEN REGISTER AAN > Schriftelijk of elektronisch > Het moet niet op papier en elektronisch beschikbaar zijn. > Het moet helder en begrijpelijk zijn. > Moet worden bijgewerkt in functie van de ontwikkelingen en evoluties van de activiteiten van de onderneming of organisatie. > Van toepassing voor verantwoordelijke en verwerker 33

34 Wat moet in het register? WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen WZC als verwerker Register v. categorieën verwerkingsactiviteiten Naam en contactgegevens van verwerkers en iedere verwerkingsverantwoordelijke voor rekening waarvan men verwerker handelt Categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 34

35 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 35

36 HET BELANG VAN EEN DPIA

37 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden

38 WAAROM EEN DPIA? Aantonen correcte toepassing van GDPR Risico s (inherent) van de verwerking onder controle krijgen. bijvoorbeeld discriminatie identiteitsdiefstal of fraude financiële verliezen reputatieschade verlies van vertrouwelijkheid beroepsgeheim beschermde persoonsgegevens ongeoorloofde ongedaanmaking van pseudonimisering` aanzienlijk economisch of maatschappelijk nadeel Slides!opgemaakt door!https: Alle rechten voorbehouden

39 KENMERKEN VAN EEN DPIA Doel: Specifieke waarschijnlijkheid/ernst risico s beoordelen Wat beoordelen? De geplande maatregelen om de geïdentifceerde risico s te beperken, de persoonsgegevens te beschermen aan te tonen dat aan deze verordening is voldaan Door wie? Verantwoordelijke verwerking op advies van DPO (indien aangesteld) Slides!opgemaakt door!https: Alle rechten voorbehouden

40 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden

41 AANGEWEZEN WANNEER (ARTIKEL 35) Geautomatiseerde, systematische en uitgebreide evaluatie (vb profiling), waarbij het resultaat wordt gebruikt om beslissingen/besluiten te nemen - met juridische consequenties - met gelijkaardige consequenties Bij speciale categorieën van persoonsgegevens (grootschalig) Monitoring van publieke plaatsen (stelselmatig, grootschalig) Slides!opgemaakt door!https: Alle rechten voorbehouden

42 TIMING VAN DE DPIA Voor de verwerking zal plaatsvinden, toetsing bij belangrijke wijzigingen (art. 35 lid 11). Ook bij wijzigingen in technieken vb dataminimalisatie Aanbeveling CBPL: om de 2 jaar Slides!opgemaakt door!https: Alle rechten voorbehouden

43 DPIA AANGEWEZEN ALS wanneer verwerking gebruik maakt van biometrie ter identificatie betrokkenen; wanneer de verwerking gebruik maakt van genetische gegevens; persoonsgegevens ingezameld bij derden dienstverlening te weigeren/stoppen financiële solvabiliteit van de betrokkene te beoordelen Risicoprofiel betrokkene opmaken in kader dienstverlening aan de betrokkene Inbreuk op persoonsgegevens zou fysieke gezondheid van de betrokkene in gedrang brengen Verwerking financiële/gevoelige persoonsgegevens die (her)gebruikt worden voor doeleinde andere dan degene waarvoor ze werden ingezameld, tenzij Toestemming Noodzakelijk is voor wettelijke verplichting Slides!opgemaakt door!https: Alle rechten voorbehouden

44 DPIA AANGEWEZEN ALS Persoonsgegevens zullen door verwerking ter beschikking worden gesteld aan grote groep Persoonlijke aspecten worden geëvalueerd (zie eerder, economische situatie, gezondheid, ) Profiling op grote schaal Grootschalige verwerking persoonsgegevens kinderenvoor andere dan oorspronkelijke doeleinden Meerdere verwerkingsverantwoordelijken zijn van plan een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele sector, of een segment daarvan, of voor een gangbare horizontale activiteit en waarbij gebruik gemaakt wordt van gevoelige gegevens; De kennis, prestaties, vaardigheden of mentale gezondheidstoestand van leerlingen registeren en de evolutie ervan op te volgen, met name aan de hand van leerlingvolgsystemen, ongeacht of deze leerlingen zich in het primair, secundair, tertiair of universitair onderwijs bevinden. Slides!opgemaakt door!https: Alle rechten voorbehouden

45 DPIA NIET AANGEWEZEN ALS Loonadministratie van personen in dienst verantwoordelijke voor de verwerking Administratie van personeel (tenzij artikel 9 en 10 gegevens) Boekhouding Administratie van aandeelhouders en vennoten Ledenadministratie, contacten en begunstigden VZW Registratie bezoekers (zie registratiebladen bezoekers) Onderwijsinstellingen in kader van studentenadministratie, onder voorwaarden Slides!opgemaakt door!https: Alle rechten voorbehouden

46 UITZONDERING (RECIT. 91 /LID 4,5 /6 ART. 35) Een verplichting mag niet bij verwerking van patiënten door individuele arts/zorgprofessional cliënten advocaat Wanneer er een wettelijke grond is voor de verwerking (en deze is beoordeeld), dient er geen DPIA te worden uitgevoerd, tenzij anders gesteld Slides!opgemaakt door!https: Alle rechten voorbehouden

47 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden

48 ROL VAN DE VERANTWOORDELIJKE? Draagt de verantwoordelijkheid en kan hierop worden aangesproken Multi-disciplinair team - DPO - Ontwikkelaars - Project lead - Personeelsleden die met de gegevens zullen omgaan - Marketing - Juridische dienst Betrokkenheid door directie (sign off) Slides!opgemaakt door!https: Alle rechten voorbehouden

49 ROL VAN DE VERWERKER? Op verzoek Slides!opgemaakt door!https: Alle rechten voorbehouden

50 ROL VAN DE DPO? bijstand en advies verplicht indien deze is aangesteld Slides!opgemaakt door!https: Alle rechten voorbehouden

51 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden

52 INHOUD DPIA (ART. 35 LID 7)? Beschrijving verwerking en verwerkingsdoel Noodzaak/evenredigheid in functie van doelen Risico s op rechten en vrijheden Maatregelen Slides!opgemaakt door!https: Alle rechten voorbehouden

53 INHOUD DPIA (ART. 35 LID 7)? Een beschrijving van de verwerking en verwerkingsdoel - Categorieën van betrokkenen en van de categorieën van persoonsgegevens; - Ontvangers inclusief derde landen of internationale organisaties - Doorgiften van persoonsgegevens aan een derde land of een internationale organisatie - Beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist Slides!opgemaakt door!https: Alle rechten voorbehouden

54 INHOUD DPIA (ART. 35 LID 7)? Noodzaak/evenredigheid in functie van doelen - Waarom is de verwerking van persoonsgegevens noodzakelijk? - Is voor deze verwerking elke handeling die voorzien is noodzakelijk? - Zijn de middelen die worden aangewend niet te ingrijpend? Slides!opgemaakt door!https: Alle rechten voorbehouden

55 INHOUD DPIA (ART. 35 LID 7)? > Beschrijving maatregelen t.a.v. de bescherming van de persoonsgegevens om in regel te zijn met GDPR incl rechten betrokkenen en eventuele derden > Waar aanwezig: moet in lijn liggen met bestaande Code Of Conducts. Dit moet worden aangetoond (lid 8) Slides!opgemaakt door!https: Alle rechten voorbehouden

56 DPIA DPIA Wat is een DPIA? Wanneer een DPIA uitvoeren? Door wie uit te voeren? Wat is de inhoud van een DPIA? Voorbeelden van DPIA Wanneer? Definitie Door wie? DPIA Inhoud Voorbeeld Slides!opgemaakt door!https: Alle rechten voorbehouden

57 ENKELE VOORBEELDEN DPIA Norea checklist Publieke PIA Template van een DPIA Slides!opgemaakt door!https: Alle rechten voorbehouden

58 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 58

59 Hoe omgaan met leveranciers? Welke handelingen mag de leverancier uitvoeren met de persoonsgegevens die moeten worden verwerkt?. Welke afspraken m a a k j e m e t d e l e v e r a n c i e r o v e r informatieveiligheid? - Product - Ondersteuning B i j k o m e n d e verplichtingen door nieuwe regelgeving ( bijstandsverplichting) Link naar een voorbeeld Gegevensbescherming Link naar voorbeeld Informatieveiligheid Bijstand verlenen in geval van lekken Bijstand bij DPIA GDPR verplichtingen Slides!opgemaakt door!https: Alle rechten voorbehouden

60 ONDERDELEN VAN EEN OVEREENKOMST Checklist Overeenkomst 60

61 EXTRA GDPR VERPLICHTINGEN: DE LEVERANCIER ZAL > Alle maatregelen nemen die vereist zijn overeenkomstig artikel 32 > Voldoen aan de in de artikelen 28.2 en 28.4 van Verordening bedoelde voorwaarden voor het in dienst nemen van een andere verwerker. De leverancier zal niet zonder een schriftelijke bevestiging onderaannemer(s) aanstellen OF Het WZC hiervan in kennis stellen met het recht op verzet > Het WZC door middel van passende technische en organisatorische maatregelen bijstand verlenen bij de uitoefening van de rechten van de betrokkene > Het WZC bijstand verlenen bij het doen nakomen van de verplichtingen bepaald in de artikelen van Verordening 2016/679. > Het WZC alle informatie ter beschikking stellen die nodig is om de nakoming aan te tonen van de verplichtingen bepaald in artikel 28 van Verordening 2016/679 (audits) 61

62 ANDERE VERWERKERS IN HET WZC > CRA? > Huisarts? > Zelfstandige zorgverleners vb kiné? > Telkens verantwoordelijkheid bepalen Vb wat is de verantwoordelijkheid van de huisarts t.a.v. het WZC? 62

63 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 63

64 DE VERPLICHTINGEN INZAKE DATALEKKEN Intern register Melding wordt opgenomen in een intern register Melding DPA Melding aan de gegevensbeschermingsautoriteit Melding betrokkene Betrokkene wordt op de hoogte gebracht 20% 50% 70% LOW Doubt High Slides!opgemaakt door!https: Alle rechten voorbehouden 64

65 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 65

66 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 66

67 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 67

68 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 68

69 NOTIFICATIE: HOE VB. ENISA? ENISA TOOL VOOR NOTIFICATI E 69

70 Beleid Opstellen van een beleid voor gegevensbescherming DPIA Uitvoeren van een Data Protection Impact Assessment Gegevenslekken Zorgen dat lekken intern en extern worden gemeld Beleid en taken Register Impactassessment Verwerkers Lekken Rechten betrokkene Register Opstellen van een register van verwerkingsactiviteiten Verwerkers Oplijsten van verwerkers en maken van afspraken Rechten Vrijwaren van de patiëntenrechten 70

71 Bezwaar 03 Beperkt van toepassing op gezondheidsgegevens Inzage 05 Zie rechten van de patiënt Geen geautomatiseerde individuele besluiten 04 Beperkt van toepassing. Wanneer ooit wachtlijsten of EBD s verder worden geautomatiseerd bijvoorbeeld Toestemming intrekken 02 Enkel wanneer een toestemming gegeven is, beperkt toepasbaar. Informatie Privacy policy voor de patiënt, in lijn met de patiëntenrechten en nieuwe GDPR bepalingen Overdraagbaar 06 Enkel in specifieke gevallen, dus beperkte relevantie. Zie ook uitwisseling ehealth. Verbetering 07 Beperkt van toepassing in de zorg. Schrapping 08 Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht Vergeten 09 Beperkt van toepassing in de zorg. Goede zorg en toestand van een bewoner op een bepaald tijdstip aantonen blijft belangrijk + bewaarplicht Beperkte verwerking 10 Impact nader te bekijken. Wat als patiënt een element in een dossier in twijfel trekt? Meestal notitie in EBD 71

72 EN NU OEFENEN Toepassing van een verwerkingsregister in WZC s

73 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 73

74 74

75 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 75

76 DATAREGISTER VS REGISTER VERWERKINGSACTIVITEITEN > Dataregister: Som alle data elementen op die in de informatieomgeving aanwezig zijn Realisatie door een opsomming van de informatiesystemen en hun data-objecten > Register van verwerkingsactiviteiten: Som alle verwerkingsactiviteiten op. Dit is eigenlijk de definitie van uw organisatie (visie, missie en doelstellingen van de organisatie) 76

77 Niveau 0 (L0) Sturing en verantwoording Samenwerking Zorg Zorgprocesondersteuning Bedrijfsondersteuning Foto: Nictiz referentiemodel 77

78 Niveau 1 (Voorbeeld)(L1) Zorg In/uit zorg Verpleging en verzorging Behandeling Gemak en Welzijn Foto: Nictiz referentiemodel 78

79 Niveau 2 (Voorbeeld) Domein Zorg Verpleging en verzorging Zorgleefplan Levering zorg Foto: Nictiz referentiemodel 79

80 Niveau 3 (Voorbeeld) Verwerkingsactiviteit Zorg Verpleging en verzorging Zorgleefplan Opstellen van zorgplan Zorgregistratie Aanpassen van het zorgplan Monitoren van Katz Schaal Observaties Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner. Foto: Nictiz referentiemodel 80

81 WAAROM KIEZEN VOOR > Niveau 1 Minste werk voor het opstellen/bijwerken Minimale GDPR implementatie Duidelijke en eenvoudige communicatie > Niveau 2 > Niveau 3 Betere definitie van de domeinen Meer mogelijkheid om de verwerkingsdoelen en hun verwerkingsgronden uit te leggen Duidelijke en eenvoudige communicatie Optimale controle over de verwerkingsdoelen en hun overeenkomstige gronden Betere controle op alle leveranciers en andere verwerkers Betere controle over de middelen die ingezet worden tijdens de verwerking 81

82 WELKE KEUZE MAKEN? > Antwoord vinden op de vraag in welke mate je eerder minimale conformiteit nastreeft (niveau 1 en 2) > Of eerder controle wenst te krijgen op de informatieomgeving en bijvoorbeeld de leveranciers die betrokken zijn bij de verwerking specifieke verwerkingsdoelen Verschillende ontvangers van de persoonsgegevens bewustwording over welke activiteiten je uitvoert en de overeenkomstige veiligheidscriteria 82

83 WAAR VIND JE DE VERWERKINGSDOELEN NIVEAU 0/1/2/3? 83

84 Foto: Nictiz referentiemodel Niveau 3 Zorg Verpleging en verzorging Zorgleefplan Monitoren van Katz Schaal Het monitoren van de evolutie op de Katz schaal zodat het zorgplan kan aangepast worden aan de noden van de bewoner. 84

85 85

86 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 86

87 CATEGORIEËN VAN BETROKKENEN EN CATEGORIEËN PERSOONSGEGEVENS 87

88 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 88

89 ONTVANGERS 89

90 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 90

91 DOORGIFTEN 91

92 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 92

93 BEWAARTERMIJN 93

94 UITGANGSPUNTEN BIJ HET OPSTELLEN VAN EEN REGISTER WZC als verantwoordelijke Register van verwerkingsactiviteiten Naam en de contactgegevens verwerkingsverantwoordelijke(n) De verwerkingsdoelen Een beschrijving van categorieën van betrokkenen en categorieën persoonsgegevens De categorieën van ontvangers Doorgiften aan derde land of internationale organisatie en documenten passende waarborgen De beoogde termijnen waarbinnen verschillende categorieën gegevens moeten worden gewist Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen 94

95 ALGEMENE TECHNISCHE/ORGANISATORISCHE MAATREGELEN 95

96 TOEVOEGINGEN > Soms zinvol om toevoegingen in het register te voorzien: Toevoeging 1: Elementen met het oog op een risico-evaluatie - Vb extra documentatie aanleggen over de verwerkingsgrond, zoals het gerechtvaardigd belang? - Vb specifieke kenmerken van de verwerking zoals profiling edm? Toevoeging 2: Elementen met het oog op leveranciersadministratie (Geen voorbeeld in slides) - Leveranciers nominatief opsommen met het oog op vendor assessment Toevoeging 3: Opsommen van de applicaties - Met het oog op een applicatiecatalogus > Opletten: maakt het verwerkingsregister minder statisch Zijn de toevoegingen elders al voorzien in een proces - Vb Aankoopdienst (indien beheer van leveranciers al voorzien is in het aankoopproces) - Vb ICT dienst (indien er al een applicatiecatalogus is) Dan is het verwerkingsregister mogelijk niet de juiste plaats! 96

97 TOEVOEGING 1: RISICO-EVALUATIE 97

98 TOEVOEGING 3: APPLICATIECATALOGUS 98

99 VRAGEN VOOR DE DEELNEMERS (GROEPSWERK) > Kan je de lijst van verwerkingsactiviteiten (niveau 0, 1, 2 en 3) valideren en input geven ter verbetering? > Kan je een verwerkingsactiviteit (niveau 3) kiezen en deze uitwerken? Bij voorkeur andere verwerkingsactiviteiten per deelnemende groep > Nadien bespreken we jullie bevindingen en resultaten in groep 99