Vandaag Zorgvernieuwing Christian Hanouwer, Adviseur Zorgvernieuwing Christian.hanouwer@vandaagzorgvernieuwing.nl 06 18 52 74 02 Pedro Nijsen, Managing Director Business Developer pedro.nijsen@vandaagzorgvernieuwing.nl 06 52 82 39 36
Dienstverlening
Algemene Verordening Gegevensbescherming 25 mei 2018 Opvolger van de Wet Bescherming Persoonsgegevens met als doel de privacy rechten van natuurlijke personen te beschermen i.v.m. verwerkingen. Geldt de AVG ook voor kleine mkb ers en ZZP ers? Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb ers en zzp ers die gegevens verwerken.
Begrippen Begrip Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Definitie alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer etc. een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren etc. een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Persoonsgegevens? Videobewakingsbeelden met geblurde gezichten? Gegevens over overledenen? Geanonimiseerde of gepseudonimiseerde gegevens? E-mailadres? IP adres? Gegevens over rechtspersonen?
Bijzondere persoonsgegevens De verwerking van bijzondere en strafrechtelijke persoonsgegevens is verboden. Tenzij u zich kunt beroepen op een specifieke wettelijke uitzondering (het verstrekken van gezondheidszorg) én op 1 van de 6 grondslagen voor het verwerken van gewone persoonsgegevens. Persoonsgegevens die door hun aard bijzonder gevoelig zijn, krijgen ook onder de Algemene verordening gegevensbescherming (AVG) extra bescherming.
Bijzondere persoonsgegevens? Gegevens m.b.t. politieke voorkeur? Gegevens m.b.t. salaris? Gezondheidsgegevens? Strafrechtelijke gegevens? NAW gegevens?
Beginselen De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn; De verwerking moet gebonden zijn aan specifieke verzameldoelen (doelbinding); De gegevens moeten toereikend, ter zake dienend en beperkt tot het noodzakelijke zijn (minimale gegevensverwerking); De gegevens moeten juist zijn (juistheid); De gegevens mogen niet langer bewaard worden dan nodig (opslagbeperking); De gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (integriteit en vertrouwelijkheid). Hoe?
Stappenplan kleinschalige zorgaanbieders/zzp ers Bewustwording (1) Privacy by design and default (3) Meldplicht datalekken (7) Verwerkingsregister (2) Beveiligingsmaatregelen (4) DPIA (8) Verwerkersovereenkomsten (5) Privacyverklaring (6)
Functionaris gegevensbescherming De FG houdt intern toezicht op en adviseert over de toepassing en naleving van de Verordening door uw organisatie. Het is verplicht een FG aan te stellen wanneer: U hoofdzakelijk belast bent verwerkingen (grootschalig) van bijzondere persoonsgegevens. *Alternatief voor FG; U kunt in plaats van een FG ook een werknemer in dienst nemen of een adviseur inhuren die zich met de bescherming van persoonsgegevens bezighoudt. Meerdere bedrijfsonderdelen kunnen samen één FG aanstellen. Ook een groep organisaties kan een gezamenlijke FG benoemen.
Functionaris gegevensbescherming (2)
Bewustwording (1) Rechten betrokkene(n): Het recht op informatie over de verwerkingen (Privacy verklaring (stap 6)); Het recht op inzage in zijn gegevens; Het recht op correctie van de gegevens als deze niet kloppen; Het recht op verwijdering van de gegevens en het recht om vergeten te worden ; Het recht op beperking van de gegevensverwerking; Het recht op verzet tegen de gegevensverwerking; Het recht op overdracht van zijn gegevens (dataportabiliteit); Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming. *< 1 maand
Bewustwording (1) Het wissen van gegevens: medische dossiers.
Verwerkingsregister (2) Onderdelen: De naam en de contactgegevens van de verwerkingsverantwoordelijke; De verwerkingsdoeleinden; Categorieën van betrokkenen en van de categorieën van persoonsgegevens; Categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie; Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. Grondslag per verwerkingsactiviteit als bedoeld in Artikel 6, Lid 1 van de AVG; Toegangsrechten categorieën medewerkers per verwekingsactiviteit;
Verwerkingsregister (2) Voorbeeld verwerkingsregister
Verwerkingsregister (2) Grondslagen verwerken persoonsgegevens: Toestemming van de betrokken persoon (vrij, geïnformeerd, ondubbelzinnig). De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.
Design Privacy (3) by Default U dient er zorg voor te dragen dat u een zo klein mogelijke inbreuk op de persoonlijke levenssfeer maakt bij uw verwerkingsactiviteiten. Minimale gegevensverwerking (data-minimalisatie) Anonimisering Pseudonimisering Instellingen op de meeste privacy-vriendelijke manier inrichten Uitgevinkt/ aangevinkt
Beveiligingsmaatregelen (4) Technisch en organisatorisch Geheimhoudingsovereenkomst medewerkers; Pseudonimering & versleuteling persoonsgegevens; Firewall; Online workspace (beveiligde omgeving); Autorisatiebeleid medewerkers; Online cliëntportaal; Testen; Et cetera.
Verwerkersovereenkomsten (5) Onderdelen: Het onderwerp en de duur van de verwerking; Het doel en de aard van de verwerking; Het soort persoonsgegevens waarop de verwerkersovereenkomst betrekking heeft; De categorieën van verwerking van de betreffende betrokkenen; De rechten en verplichtingen van de verwerkingsverantwoordelijke. https://legacy.vgn.nl/media/5a2ff21065916/verwerkersovereenkomst+boz+pdf+versie+121217.pdf
Privacyverklaring (6) Bevat onder andere: Identiteit zorgaanbieder (contactgegevens, functionaris); Specificeren welke persoonsgegevens er worden verwerkt (+ wie toegang/inzagerecht heeft); Doeleinden verwerken persoonsgegevens; Grondslagen verwerken persoonsgegevens; Bewaartermijnen persoonsgegevens; Informatie delen persoonsgegevens met derden; Beschrijving beveiligingsmaatregelen persoonsgegevens; Handelingsmethode datalekken (meldplicht); Geheimhoudingsplicht; Rechten van betrokkenen (cliënten).
Meldplicht datalekken (7) Nieuw: documenteren datalek/ beveiligingsdocument.
Meldplicht datalekken (7) Casus Een brief met daarin cliëntgegevens wordt naar een verkeerd adres gestuurd. De brief wordt ongeopend retour ontvangen. Datalek? Geen verloren gegevens en geen onrechtmatige verwerking = geen datalek. Melden? Dit hoeft niet gemeld te worden aan de AP; Dit hoeft ook niet gemeld te worden aan de cliënt. KNMP
Meldplicht datalekken (7) Casus Een cliënt vraagt de zorgaanbieder om een afschrift van zijn/ haar medische dossier. De zorgaanbieder print het dossier en geeft het in een envelop aan de cliënt mee. De cliënt merkt bij thuiskomst dat de envelop het dossier van een andere cliënt bevat en meldt dit aan de zorgaanbieder. Datalek? Medische gegevens zijn door een onbevoegde ingezien = datalek. Melden? Zorgaanbieder meldt datalek aan AP; Zorgaanbieder meldt datalek aan de betrokkene.
Meldplicht datalekken (7) Casus Er is een laptop gestolen bij een zorgaanbieder. De laptop bevat gevoelige gegevens over gezondheid van meer dan 100 cliënten. De laptop is beveiligd met een wachtwoord. De cliëntgegevens op de laptop zijn niet versleuteld. Er is wel een back-up aanwezig van de gegevens. Datalek? Onrechtmatige verwerking valt niet uit te sluiten = datalek. Melden? Zorgaanbieder meldt datalek aan AP; Zorgaanbieder meldt datalek aan de betrokkenen.
DPIA (8) Hoog risico nieuwe verwerkingen na 25 mei (op grote schaal bijzondere persoonsgegevens verwerken); Het doel is het inschatten van privacy risico s en het treffen van passende maatregelen.
Checklist DPIA (8) Evaluatie van personen of scoretoekenning; Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg; Stelselmatige monitoring; Gevoelige gegevens of gegevens van zeer persoonlijke aard; Op grote schaal verwerkte gegevens; Matching of samenvoeging van datasets; Gegevens met betrekking tot kwetsbare betrokkenen; Innovatieve toepassing van nieuwe technologische of organisatorische oplossing; Blokkering van een recht, dienst of contract.
Checklist DPIA (8)
Casus check ZZP/ kleinschalige zorgaanbieder Algemene Verordening Gegevensbescherming? Ja Verwerkingsregister? Ja Functionaris gegevensbescherming? Indien grootschalige verwerking Verwerkersovereenkomsten? Indien externe verwerker DPIA? Indien nieuwe grootschalige verwerking met een hoog privacy risico Document datalekken? Ja Privacy verklaring? Ja