Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Transcriptie

1 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

2

3 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die precies staan. Bron: Wikipedia

4 - Software as a Service (SaaS) - Platform as a Service (Paas) - Infrastructure as a Service (IaaS) Zie: Whitepaper National Cyber Security Center (NCSC: Cloudcomputing & Security

5 - online toegankelijk via standaard applicaties - alleen betalen voor gebruik - efficiënt en goedkoop

6 - geen specifiek wettelijk regime - Europese privacyrichtlijnen en Wet bescherming persoonsgegevens (Wbp); - Wet geneeskundige behandelingsovereenkomst (Wgbo) - toekomst: Europese Privacyverordening

7

8

9 - wettelijke beveiligingsplicht (art. 13 Wbp): - passende technische en organisatorische maatregelen tegen verlies of onrechtmatige verwerking - passend beschermingsniveau rekening houdend met kosten en de stand van de techniek - gelet op risico s en aard van de gegevens - medische gegevens - zijn bijzondere persoonsgegevens - vallen onder geheimhoudingsplicht 9

10 NEN-normen NEN 7510: algemene richtlijnen NEN 7513: logging NEN 7521: toegang tot patiëntgegevens Gedragscode Elektronische Gegevensuitwisseling in de Zorg ( Gedragscode EGiZ ) identificatie en authenticatie autorisatie (toetsing behandelrelatie) 10

11 - patiëntenrechten - Wbp & Wgbo - gedragscode EGiZ - bewaartermijnen en vernietigingsplichten - wetsvoorstel cliëntenrechten elektronische gegevensverwerking en AMvB!

12

13 - garanderen informatiebeveiliging is hierdoor moeilijk; - gebrek aan beschikbaarheid door tekortschietende interoperabiliteit (vendor lock-in) - gebrek aan vertrouwelijkheid door rechtshandhaving in derde landen; Bron: art. 29 werkgroep: Advies 05/2012 over cloud computing

14 - over de keten van verwerkers en onderaannemers; - over de geografische locatie; - over overdacht naar derde landen buiten EU. Bron: art. 29 werkgroep: Advies 05/2012 over cloud computing

15 - de zorginstelling is en blijft verantwoordelijke! - art. 29 werkgroep: dit is geen rechtvaardiging voor de verantwoordelijk om contractbepalingen te accepteren die niet in overeenstemming zijn met de wetgeving voor gegevensbescherming - oplossing: onafhankelijke controles en certificeringen?

16 geen eigendom, maar wel: - intellectuele eigendomsrechten - zeggenschapsrechten (m.n. privacy) - contractuele afspraken moeilijk om gegevens op te eisen. Hof Arnhem 3 mei 2011 (LJN BQ5230): niet gebleken is dat digitale gegevens vatbaar zijn voor afgifte (revindicatie). Immers, ingevolge artikel 5:2 BW is revindicatie beperkt tot zaken Zie ook: Nictiz-whitepaper: Van wie is het dossier?

17 8. Proprietary Rights 8.1 Your Content. As between you and us, you or your licensors own all right, title, and interest in and to Your Content. Except as provided in this Section 8, we obtain no rights under this Agreement from you or your licensors to Your Content, including any related intellectual property rights.

18

19 doorgifte naar landen buiten EER zonder passend beschermingsniveau is verboden, tenzij: - toestemming (vaak geen optie) - VS: Safe Harbor Principles - EU standard contractual clauses - ( )

20 EU Commissaris Kroes: - bestaande juridische maatregelen zijn niet afdoende; - er komen Europese regels voor cloud computing - er moet een Europese cloud komen Duitse en Zweedse toezichthouders: US Safe Harbor is niet genoeg Artikel 29 werkgroep: zelfcertificering is niet voldoende

21 minister Opstelten (september 2011): bij aanbestedingen van de overheid zal de eis worden opgenomen dat het de leverancier niet is toegestaan gegevens in kader van Patriot Act aan de VS te verstrekken. Dit betekent feitelijk dat bedrijven uit de VS van aanbestedingen worden uitgesloten Zie ook: Instituut voor Informatierecht (IViR: Clouddiensten in hoger onderwijs en onderzoek en de USA Patriot Act

22 - meer verantwoordelijkheden bewerker - verbod verstrekking aan derde landen, tenzij specifieke grondslag - EU governmental cloud - stimuleren Europese cloudmarkt Bron: art. 29 werkgroep: Advies 05/2012 over cloud computing

23 - cloud computing is, in juridisch zin, een moving target - de zorginstelling is verantwoordelijk voor een adequaat beschermingsniveau - een uitgebreide risicoanalyse is, zeker bij medische gegevens, noodzakelijk - zorgsector moet krachten bundelen!?

24 - Whitepaper: Medische gegevens in de cloud. Juridische do s en dont s Is hier behoefte aan? Suggesties graag naar Barbara van Rest & Anton Ekker

25 vragen?