Aleid Wolfsen (AP): De zorgsector is welwillend om datalekken te

Vergelijkbare documenten
Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Grip op persoonsgegevens

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacyverklaring. Persoonsgegevens die KIEN verwerkt

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacy op het Clusius College

Privacy Statement Stichting SOM

Algemene Verordening Gegevensbescherming

Agenda. De AVG: wat nu?

De Clercq Advocaten Notariaat

PROTOCOL INFORMATIEBEVEILIGINGSINCIDENTEN EN DATALEKKEN

Privacy een ICT-ding? Juist niet!

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)

Gebruikt u mijn gegevens ook als u die van iemand anders hebt gekregen?

Algemene verordening gegevensbescherming

Procedure meldplicht datalekken

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Privacy verklaring Jansen en Partners

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Aan de Voorzitter van de. Tweede Kamer der Staten-GeneraalPostbus EA Den Haag

Privacy statement. Wat kunt u hier lezen? Wie is verantwoordelijk voor uw gegevens? Onze contactpersoon voor uw vragen over privacy

Privacyverklaring Stichting Openbaar Onderwijs Oost Groningen

Voorbereid op de nieuwe privacywet in 10 stappen

Privacy verklaring en Toestemming verwerking persoonsgegevens

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

Privacy wetgeving: Wat verandert er in 2018?

Privacy statement ROM3D

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Privacy verklaring van CAV Heerlen v/d L.L.T.B.

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Nieuwe privacywetgeving

Handreiking Protocol informatiebeveiligingsincidenten en datalekken. Stichting KBO Haarlem-Schoten. Versie: 27 mei 2018

Kwaliteitsdocument. Privacy Statement

Privacy statement Arch Football

Privacyverklaring van Enpuls B.V.

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Privacy Maturity Scan (PMS)

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

De grootste veranderingen in hoofdlijnen

Privacyverklaring Conflictwerk

Protocol informatiebeveiligingsincidenten en datalekken VSNON

UITGELE(K)(G)(T)(D): Meldplicht datalekken - in tien slides -

Contactgegevens: April Snow Kortenhoefsedijk LZ Kortenhoef

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Borging privacy op P4 data ODA zomersessie 7 juli 2017

Nieuwe privacy verordening raakt ook de pensioensector

Privacy dit moet je weten over de wet

Privacy verklaring Koot Financiële diensten

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Overige persoonsgegevens die u actief verstrekt bijvoorbeeld in correspondentie en telefonisch;

Adresgegevens kantoor: Thorbeckestraat 6, 2672 AX NAALDWIJK Gegevens eigenaar: K. Roctus. Telefoonnummer:

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Wat u echt móet weten over de AVG

De bewerkersovereenkomst

Auteurs: Edwin Adams Tangram

Privacy statement. Inhoud Bescherming van uw persoonsgegevens 2

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

Privacy verklaring Veilig Thuis Flevoland

Privacyverklaring. Privacyverklaring Blijf Groep V

TRAINING: PERSOONSGEGEVENS

Privacyverklaring voor klanten

Privacy Statement Forte Welzijn

Privacy Statement INTRAMED. Juni Versie 1.0

Privacyverklaring VV Papendrecht

Privacyreglement en cookieverklaring Onderwijsconsulenten

E-book 17 vragen over de AVG

Checklist Privacyverklaring

In 15 stappen op weg naar 2018

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Privacyverklaring B&V Techniek

Wettelijke kaders voor de omgang met gegevens

Privacy Statement SAM Advies BV

vastleggen in een samenwerkingsovereenkomst. Deze voeren wij nauwgezet uit. In beide rollen zorgen we dat uw privacy zorgvuldig is beschermd.

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacy Verklaring. Privacy Verklaring Breinperspectief Gewijzigd

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

Privacy Statement Sa4-zorg

Privacy statement Wat zijn persoonsgegevens? Bijzondere persoonsgegevens Van wie verwerkt Stichting Welzijn Bergen persoonsgegevens?

Functionaris Gegevensbescherming (FG)

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

De nieuwe privacywetgeving:

Privacy statement voor sollicitanten KiesZon

Privacyverklaring voor zakelijke relaties

Inhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van

Wat betekent de GDPR voor mijn bedrijf? TOM VAN NUNEN ONLINQ BEST

Nieuwe wet- en regelgeving, bent u voorbereid?

dertig minuten over toezicht, handhaving en rechtsbescherming Gerrit-Jan Zwenne 5 april 2018

Transcriptie:

pagina 1 van 5 Aleid Wolfsen (AP): De zorgsector is welwillend om datalekken te melden smarthealth.nl/2018/04/11/autoriteit-persoonsgegevens-avg-zorgsector-datalekken/ Anna Jacobs April 11, 2018 In de centrale hal van het kantoor van de Autoriteit Persoonsgegevens (AP) in Den Haag staat een cameraploeg. De telefoon staat al de hele ochtend roodgloeiend. Aanleiding is de melding van een datalek in het Haga-ziekenhuis. Tientallen medewerkers van het Haagse ziekenhuis zouden volgens een klokkenluider ongeoorloofd het medische dossier van Samantha de Jong, beter bekend als reality-ster Barbie, bekeken hebben. Tussen de bedrijven door vinden we een geschikt moment om met Aleid Wolfsen, voorzitter van de AP, te spreken over privacy, datalekken en de impact van nieuwe Europese wetgeving op de zorgsector. De Autoriteit Persoonsgegevens is de Nederlandse instantie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Met al het nieuws rondom privacy en data zoals camera s in de kleedkamer van een sauna, de ophef rond Cambridge Analytica en Facebook, en de ongeoorloofde gegevensverzameling van Microsoft staat de AP meer dan ooit tevoren in de publieke belangstelling. Ook de datum 25 mei 2018 speelt een grote rol bij de toezichthouder. Dan wordt namelijk de Algemene Verordening Gegevensbescherming (AVG) binnen de Europese Unie van kracht. Die nieuwe wetgeving geeft burgers meer rechten, bedrijven en organisaties meer verplichtingen en biedt nationale toezichthouders als de AP meer handvatten om organisaties die slordig met persoonsgegevens omgaan aan te pakken, bijvoorbeeld met flinke boetes voor de bestuurders. Ombudsman voor privacyklachten Bij de publieksvoorlichters van de toezichthouder komen dagelijks vragen en meldingen binnen van bedrijven, organisaties en burgers. Burgers bellen naar aanleiding van berichten in de media, bijvoorbeeld over een digitaal leerling-volgsysteem, maar ook met vragen over inzage in hun medische dossier, of het verwijderen van informatie uit hun dossier. Veruit de meeste telefoontjes komen van bedrijven die zich bezighouden met verwerking van persoonsgegevens, in verschillende sectoren. Wat mag wel en wat mag niet met die data, hoe moeten bedrijven zich voorbereiden en wat betekent de nieuwe wetgeving voor hun sector?

pagina 2 van 5 Autoriteit Persoonsgegevens Volgens AP-voorzitter Aleid Wolfsen is de rol van de AP veranderd. Voorheen zaten we meer op afstand, nu hebben we meer dan ooit een belangrijke taak om mensen voor te lichten. We worden als het ware een ombudsman voor de privacy, burgers kunnen met klachten en vragen over het gebruik of misbruik van hun persoonsgegevens bij ons terecht. Dat betekent dat we niet langer in onze toren blijven zitten om toezicht te houden, maar organisaties proactief gaan ondersteunen bij het bewust worden van hun verantwoordelijkheid rondom privacy en de praktische aanpak daarvan. De AP wil burgers ook wijzen op hun rechten. We merken dat veel mensen privacy belangrijk vinden, maar er ook in berusten dat ze niet veel eraan kunnen doen. Zij zijn groot, ik ben klein, mijn gegevens liggen toch al op straat, dat idee hebben veel mensen. We willen burgers helpen om hun rechten uit te oefenen. Klant is koning, ook in het ziekenhuis Wolfsen betreurt het voorval in het Haga-ziekenhuis, maar zo n concrete casus is volgens de voorzitter een voorbeeld om iedereen weer op scherp te zetten. In andere sectoren hoor je de klant is koning. In het ziekenhuis wil je ook dat jouw data behandeld worden alsof het de medische gegevens van de koning zijn. Je hebt recht op bescherming van je persoonlijke levenssfeer, Wat is er intiemer dan jouw gezondheidsgegevens? Dat zijn vertrouwelijke data die je alleen met jouw arts deelt, en niet met de rest van de afdeling. Doordat het datalek in het Haga-ziekenhuis om een bekende Nederlander gaat, haalde het de binnenlandse pers. Toch is het niet de eerste keer dat er zoiets is voorgevallen, geeft Wolfsen aan. Wij hebben vaker vergelijkbare signalen ontvangen. Als voorbeeld noemt de bestuurder een burenruzie, waarbij een van de buren (werkzaam in een ziekenhuis) data uit het medische dossier van een andere buurman had gevist en dit tegen hem gebruikte in de ruzie. De gedupeerde buurman benaderde de AP over deze kwestie en de Autoriteit ging op onderzoek uit bij het desbetreffende ziekenhuis.

pagina 3 van 5 Datalekken per sector In totaal werden er in 2017 10.000 datalekken gemeld bij de AP. Dan aantal is met meer dan 70 procent toegenomen ten opzichte van het jaar daarvoor. De meeste meldingen kwamen van organisaties uit de sectoren gezondheid en welzijn (3105 meldingen), openbaar bestuur (2000 meldingen) en financiële dienstverlening (1984). Wolfsen: De zorg staat altijd in de top drie van sectoren met de meest gemelde datalekken. Dat is niet enkel een negatieve score, maar ook iets positiefs: het is duidelijk dat men zich in deze sector extra bewust is van de gevoeligheid van de data waarmee zij werken en dat de welwillendheid om een datalek te melden groot is. Achterstallig onderhoud Volgens Wolfsen krijgt de AP ook regelmatig meldingen binnen vanuit de zorg die strikt genomen niet bij de Autoriteit gemeld hoeven te worden. Als een patiëntenportaal op een pc in de gang open heeft gestaan, maar niemand erin heeft gekeken, dan heb je wel een beveiligingsissue er had iemand in kunnen kijken maar is het formeel geen datalek. Je bent als ziekenhuis in zo n geval wel verplicht de patiënt in te lichten, maar de AP hoeft niet ingelicht te worden. Wolfsen vindt het een goed teken dat zorgprofessionals toch liever geen risico nemen. Door de AP erbij te betrekken, kunnen we wel meekijken, eventuele feedback geven en mogelijk potentiële fouten voorkomen. Is de nieuwe Europese wetgeving die ook voor de zorgsector geldt eigenlijk geen achterstallig onderhoud, zaken die commerciële bedrijven al lang geregeld hebben met een privacyreglement, chief security officer en meldpunt voor datalekken? Wolfsen: Het achterstallige onderhoud in de zorg lijkt ten opzichte van andere sectoren nog net wat groter. De zorgsector is hierin niet uniek, maar ten opzichte van andere sectoren zijn zorgprofessionals doorgaans minder thuis in de digitale wereld dan professionals in andere sectoren. Van een oncoloog verwachten we dat hij of zij uitmuntende vakkennis heeft maar niet dat hij of zij precies weet hoe alle ICT-systemen van het ziekenhuis in elkaar zitten. Maar in het ziekenhuis waar deze oncoloog werkt, moet deze kennis wel aanwezig zijn. Ik ben van mening dat je niet goed kunt leidinggeven aan een zorginstelling als je de digitale wereld niet goed begrijpt: je moet die wereld door en door kennen.

pagina 4 van 5 Ziekenhuizen moeten de digitale wereld ook door en door kennen Puntjes op de i Wanneer je als zorginstelling al volgens de Wet bescherming persoonsgegevens (Wbp) werkt, is het voldoen aan de AVG een kwestie van de punten op de i zetten, zegt Wolfsen. Als je nog niet conform de Wpb werkt, dan moet je nu flink aan de bak. Voorheen had de AP al de wettelijke bevoegdheid om boetes op te leggen, de drempel om die op te leggen wordt vanaf 25 mei lager. Dan is fout gewoon fout. Dat doen we niet omdat we graag boetes opleggen, maar omdat we in actie moeten komen. De impact van een datalek kan groot zijn. Na 25 mei gaat de AP ook strenger controleren of organisaties die een functionaris gegevensbescherming (FG), een interne toezichthouder, moeten hebben, deze ook daadwerkelijk hebben. Als een zorgorganisatie geen FG heeft, dan gaat er al iets mis, aldus Wolfsen. Rechten van burgers Ziekenhuizen die denken het zal zo n vaart niet lopen hebben het volgens Wolfsen mis. Burgers raken zich meer en meer bewust van hun privacy en de risico s die ze lopen. Het is zo n belangrijk recht, daar moeten wij iets aan doen. Als burger begin je voor je gevoel misschien niets tegenover een groot ziekenhuis, overheidsinstantie of miljoenenbedrijf. Wij willen een bondgenoot voor burgers zijn. Wolfsen benadrukt wel dat de boetes geen doel op zich zijn, maar een middel. Voordat de AP een boete uitdeelt, kan de Autoriteit bijvoorbeeld eerst een last onder dwangsom opleggen, waarmee er wordt afgedwongen dat binnen een bepaalde tijd iets moet worden opgelost op straffe van een bepaald geldbedrag. Maar de AP kan ook een organisatie bellen of een brief sturen om een wettelijke norm uit te leggen, zodat de overtreding kan worden verholpen. We hopen dat het feit dat de AP een boete op mag leggen, ervoor zal zorgen dat men in actie komt. Het moet een stok achter de deur zijn.

pagina 5 van 5 Burgers hebben recht op dataportabiliteit Dataportabiliteit? Binnen de zorg is informatie-uitwisseling een heet hangijzer. Systemen die niet met elkaar praten en het ontbreken van een downloadknop in het ziekenhuisportaal vallen moeilijk te rijmen met het recht op dataportabiliteit, een onderdeel van de AVG. Dataportabiliteit is het recht om gegevens over te dragen. Het houdt in dat mensen het recht hebben om de persoonsgegevens te ontvangen die een organisatie van hen heeft. Zo kunnen zij hun gegevens bijvoorbeeld makkelijk doorgeven aan een andere leverancier van dezelfde soort dienst. Bedrijven, overheden en zorginstellingen moeten dataportabiliteit faciliteren, zegt Wolfsen. Als iemand zijn medische dossier mee wil nemen naar een andere zorgverlener, maar hier geen mogelijkheid toe heeft, dan mag hij of zij dat bij ons melden. Een ziekenhuis dat dataportabiliteit niet honoreert, is in feite in overtreding. En hoe kijkt de voorzitter aan tegen buitenlandse (tech)bedrijven, die ook richting de zorgmarkt bewegen? Apple wil een opslagplaats voor medische gegevens worden en Google hoopt op basis van bergen data en slimme algoritmes meer te leren over het verloop van ziektes. Hoe groot of hoe klein een bedrijf ook is: ze moeten 100% compliant met de AVG werken. Als Apple naast smartphones ook zorgdiensten gaat aanbieden, moet hun alertheid ook groter zijn. Aan de toestemming die mensen geven om bijvoorbeeld hun medische gegevens in een app te delen of mee te werken aan een digitale klinische studie, stelt de wet strenge eisen. Toestemming moet vrij, specifiek niet algemeen, geïnformeerd en ondubbelzinnig zijn gegeven. Onder de AVG zijn de eisen nog strenger geworden dan onder de Wet bescherming persoonsgegevens. We kunnen daar dus ook streng op gaan toetsen.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback