Begrippenlijst AVG / Wetgeving Elektronische Verwerking / NEN7510 Begrip Staat voor Toelichting Wbp Wet bescherming persoonsgegevens Huidige privacy wetgeving. In de basis stammend uit 1995. Deze wordt vervangen door de Europese wetgeving per 25 mei 2018 GDPR General Data Protection Regulation Europese Privacy Verordening, verplicht in alle lidstaten AVG Algemene Verordening Gegevensbescherming Nederlandse vertaling van de GDPR, kernbegrippen zijn; - Rechtmatige, behoorlijke en transperante verwerking - Doelbinding - Instemming - Minimale gegevensverwerking - Juisheid - Opslagbeperking Integriteit en vertrouwelijkheid - verantwoordingsplicht. Accountability Verantwoordingsplicht zie onder verantwoordingsplicht Verantwoordingsplicht Het moeten kunnen aantonen dat je voldoet aan de AVG Kunnen aantonen dat een verwerking aan de belangrijkste begisnelen van verwerking voldoet, zoals; * Rechtmatigheid * transparatie * doelbinding * Juistheid * Verantwoordelijke Verwerker Degene die of de organisatie die een registratie met persoonsgegevens bij houdt, zoals een patienten registratie, personeelsregistratie een CRM etc. Iedereen of iedere organisatie die iets doet met de door de verantwoordelijke opgeslagen gegevens. Medrie is dus bijvoorbeeld de verantwoordelijke voor Callmanager, de personeelsadministratie, de persoonsregistraties bij Financien en CRM Meest voor de handliggende verwerkers zijn de ICT leveranciers zoals die van HISsen en Callmanagement systemen. Maar ook een partij als Afas, Accountview etc. Iets doen is ruim, van het bewaren van de gegevens (in de cloud), het maken van Back-ups etc.
Bewerking / Verwerking Persoonsgegevens Bijzondere persoonsgegevens Definitie van alle be- verwerkingsactiviteiten Elke vorm van informatie die naar een natuurlijk persoon kan leiden. Gevoelige informatie die iemands privacy ernstig kan beinvloeden Een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschaermen, wissen of vernietigen van gegevens. Informatie die direct over iemand gaat of naar die persoon te herleiden is. Denk aan medische informatie, maar ook gegevens over iemands seksuele leven, ras, politieke voorkeur levensovertuiging, strafrechtelijk verleden e.d. Verwerkersovereenkomst Overeenkomst tussen verantwoordelijke en verwerker. De verantwoordelijke is verplicht met iedere verwerker een dergelijke overeenkomst af te sluiten. In die overeenkomst is vastgelegd bij wie bepaalde verantwoordelijkheden liggen, wie waarvoor aansprakelijk is, wie wat waar moet melden etc. Autoriteit Persoonsgegevens (AP) Toezichthouder namens de overheid (voorheen het College Bescherming persoonsgegevens - CBP) Orgaan waar o.a. datalekken moeten worden gemeld. Kan forse boetes opleggen als niet wordt voldaan aan wet en regelgeving. Werkt nauw samen met de Functionaris Gegevensbescherming (FG)
Datalek Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. Het gaat er bij een Datalek dus niet om dat gegevens in verkeerde handen zijn gekomen, maar dat de kans is ontstaan door verlies of onrechtmatige verwerking. Meldplicht Datalekken Verplichting van iedere verantwoordelijke om bij de AP te melden als er privacygevoelige informatie (mogelijk) op straat is beland Afhankelijk van de ernst van een datalek dient dit gemeld te worden. Zijn er tot op de persoon herleidbare data gelekt en kunnen de belangen van betrokkenen worden geschaad? Melding bij de AP en ook bij de betrokkenen als de kans bestaat dat persoonlijke belangen worden geschaad. Functionaris Gegevensbescherming (FG) Verwerkingenregister Privacy Impact Assessment (PIA) Functionaris die binnen een organisatie toezicht moet houden op, en adviezen geven over naleving van, privacy wetgeving (verplicht in ieder geval sedert 1-1- 2018) Verplicht Gedocumenteerd overzicht van alle gegevensverwerkingen binnen de organisatie Instrument / Verplichting om vooraf de risico's in kaart te brengen Onafhankelijk positie, soort interne auditor. Kan gedeeld worden met andere organisaties. Nog wel discussie wanneer verplicht. Genoemd wordt alles boven een eenpitter (HA praktijk) maar ook 10.00 patiënten of meer. Denk hierbij aan grotere registraties EPD, CRM, Personeelsadminstratie, maar ook aan de bekende Excel bestandjes met persoonsgegevens bijvoorbeeld rond solicitaties of om bepaalde patientengroepen in kaart te brengen (griepvaccinatie). Een PIA moet worden uitgevoerd als een beoogde gegevensverwerking privacy risico's met zich meebrengt om vervolgens maatregelen te treffen om die risico's te verkleinen.
Privacy by design Bij de ontwerp van producten en diensten rekening houden dat persoonsgegevens goed beschermd worden De verantwoordelijke dient dus vooraf goed na te denken over privacybescherming, maatregelen te treffen ter bescherming. Dus op voorhand kunnen aantonen dat je in controle bent. Privacy by default Rechten van betrokkenen Technische en organisatorische maatregelen om alleen persoonsgegevens te verwerken in overeenstemming met het doel van de registratie Zaken die niet relevant zijn voor het doel mag je dus niet vastleggen. Bekende items die niet worden gerigtreerd en ook niet mogen zijn bijvoorbeeld; Sexuele voorkeur of geaardheid, Geloof, e.d. Maar ook mogen bijvoorbeeld op een App de gebruikers niet verplicht worden zich te registreren als dat voor de werking ervan niet nodig is. De mensen waarvan persoonsgegegevens worden gerigistreerd / verwerkt hebben nu al privacyrechten Nu al is er natuurlijk het recht op inzage, correctie en en deze worden onder de AVG verbeterd en uitgebreid verwijdering, maar deze rechten worden aangescherpt Recht op dataportabiliteit Privacy reglement Bewaartermijnen AVG boete Aanvullende relevante wetgeving De betrokkenen moeten eenvoudig de beschikking kunnen krijgen (elektronisch) over hun gegevens en deze kunnen doorgeven aan andere organisaties. Regeling waarin een organisatie haar privacy beleid heeft vastgelegd en kenbaar heeft gemaakt aan betrokkenen. Wettelijke bepalingen over de termijen waarop gegevens moeten en mogen worden bewaard. De boete die door de AP kan worden opgelegd als een organisatie niet kan aantonen dat het handelt in overeenstemming met de AVG Patientgegevens uit een HIS bijvoorbeeld moeten overzetbaar worden naar een andere HIS indien van huisarts wordt gewisseld. De meeste organisatie hebben een Privacyeglement, maar dit dient wel nagelopen te worden ivm. nieuwe wetgeving Denk hierhierbij niet alleen aan medische gegevens in een EPD maar ook aan personeelsgegevens zoals sollicitatiebrieven en CV's op een website. In het kader van Wbp controleert de AP in het Kader van de AVG moet een organisatie aan de voorkant kunnen aantonen dat het juist beleid voert en uitvoert.
WGBO Wet op de Geneeskundige Behandelovereenkomst Regelt de verhoudingen en de verplichtingen tussen een patient en (individuele behandellaar (en evt. diens waarnemer). Wet Clientenrechten bij elektronische verweking van gegevens in de zorg Per 1 juli 2017 ingegaan en regelt de rechten van patiënten/cliënten bij de elektronisch verwerking van gegevens (en gegevensuitwisseling). De uitvoering van een aantal bepalingen is uitgesteld tot 1-7-2020 om het technisch mogelijk te maken Nu al verplicht is dat de patiënt gericht geinformeerd moet worden over zijn rechten bij elektronische gegevens uitwisseling (LSP, Medicom cluster bijvoorbeeld). Bijhouden van een registratie van door patienten verleende toestemming. Vanf 2020 moet dat laatse moet de patient dit zelf elektronsich kunnen aangeven inclussief gedeferentieerde toestemming. Daarnaast ook vanaf 2020 Kosteloos elektronisch inzage en elektronisch afschrift van patienten dossier. Besluit Elektronische Gegevensverwerking door Zorgaanbieders per 28 november jl. ingegaan (vertraagd door kabinetsformatie. Is een aanpassing op Wb art. 26 Verplicht instelling FG en NEN7510 Het Besluit geeft nadere invulling aan de beveiligingseisen waaraan elektronische uitwisselingssystemen en zorginformatiesystemen moeten voldoen. Advies: vooral koersen op AVG en daarbij of daarna de NEN7510 NEN Normen NEN7510 NEN7512 is de norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg. is een nadere invulling van NEN 7510 en heeft betrekking op de veiligheid van gegevensuitwisseling tussen partijen in de zorg. Deze norm beschrijft uitgebreid in een aantal hoofdstukken en 145 maatregelen wat een organisatie allemaal moet doen om veilig met gegevens om te gaan. Op dit moment werken we nog met de oude NORM naar sedert november jl. is de NEN7510 2017 uit gekomen
NEN7513 ISMS is een nadere invulling van NEN 7510. Deze norm gaat over het vastleggen van acties op elektronische cliëntdossiers, de logging. Information Security Management System Een kwaliteitssysteem voor informatiebeveiliging, ingebd in de organisatie als een bedrijfsproces. Een continu proces van Leren, evalueren en verbeteren. (PDCA cyclus)