Parelsnoer data en privacy aspecten Erik Flikkenschild, PSI Centraal Team (ICT) NFU-SIG-IB, 3-2-2015
Agenda 1. Security domeinen 2. Parelsnoer (PSI) biobank 3. Gezamenlijke (NFU) aanpak EPV 4. Samenwerking met Surf en Data4Lifesciences
Sercurity domeinen Primary Health registration Secundary use Questionaire EPD Radiology Pathology laboratories Etc. Quality Biobanking Research DB
Historie en strategische koers PSI als project ontwikkeling centrale en lokale infrastructuur opbouw parelverzamelingen PSI als UMC organisatie implementatie centrale en lokale infrastructuur binnen de UMC's coördinatie UMCgebonden data- en biobanken PSI werkwijzen de UMC standaard PSI als onderdeel nationale hub samenwerking met BBMRI-NL coördinatie Nederlandse klinische data- en biobanken PSI werkwijzen nationale standaard
Parelsnoer Institute (PSI) research question driven approach UMC domain PSI domain Web form PIM data model Programm & Control Manual input SOP i n p u t Special Basis EHR SPSS TTP Lab Biobank (8) UMC Collection databases Quality reporting Central database Image Imaging (IAC)
Methodiek implementatie EPV Privacy & Security by Design & Default Bron: Thijs Kliphuis (Vumc)
Referentiekader Kaderreglement Security Privacy
Implementatie EPV door de UMC s 1. UMC s voeren standaard PIA s in combinatie met risicoanalyses (BIA s) uit voorafgaand aan de ontwikkeling / aanschaf / ingebruikname van nieuwe persoonsregistraties 2. Beschrijvingen beschikbaar op functietype FG-functie ISO-functie combi-functie FG/ISO (senior / medior / junior) 3. Tooling beschikbaar voor meldingen verwerkingen
Business Case EPV Een groot deel van hetgeen in de EPV vastgelegd wordt is niet nieuw, want ook al opgenomen in de Wbp. De EPV scherpt de verplichtingen aan, onder meer om aantoonbaar een adequate bescherming van persoonsgegevens te hebben gerealiseerd. Een en ander wordt vergezeld van een stevig boete-regime. Stakeholders: Onderzoekers CBP (reviewer) Functionaris gegevensbeschermer ICT / Security Officer Cliëntenraden Juristen Veiligheidsfunctionarissen Biobanken
Implementatie EPV door de acht UMC s Lopende onderdelen in het werkplan: Regie & Coördinatie Voorlichting & Presentaties Werkwijze meldplicht datalekken (prio Wbp) Implementatie behandelcriterium (prio CBP) Vereenvoudigen vragenlijsten Tooling voor het melden van verwerkingen Werkwijze uitvoeren PIA (privacy impact assessment) Generieke functiebeschrijvingen Informeren toezichthouders over aanpak 10
Implementatie AVG door de UMC s Verkenning 2013 : het kan en moet beter art.nr Hoofdstuk Toelichting UMC's 77 Aansprakelijkheid van de verantwoordelijke zwaarwegend 0% 32 Meldplicht datalekken betrokkenen (art. 32 EPV) zwaarwegend 14% 33 Privacyeffectbeoordeling (PIA) (art. 33 EPV) zeer zwaarwegend 17% 77 Doorwerking in contracten met derden zeer zwaarwegend 23% 28 Documentatieplicht (art. 28 EPV) zeer zwaarwegend 25% 23 Privacy by design & default (art. 23 EPV) zeer zwaarwegend 26% 17 Recht om vergeten te worden en om gegevens te laten wissen (art. 17 EPV) zeer zwaarwegend 26% 14 Informatieplicht (art. 14 EPV) zwaarwegend 28% 18 Recht van gegevensoverdraagbaarheid (art. 18 EPV) zwaarwegend 29% 37 Taken functionaris gegevensbescherming (art. 37 EPV) zwaarwegend 30% 26 Doorwerking in contracten met verwerker (gedefinieerd als:..) zwaarwegend 31% 19 Recht van bezwaar (art. 19 EPV) zwaarwegend 33% 15 Recht van toegang (art. 15 EPV) (= recht op inzage Wbp) zwaarwegend 40% 16 Recht van rectificatie (art. 16 EPV) zwaarwegend 47% 36 Positie en bevoegdheden functionaris gegevensbescherming (art. 36 EPV) zwaarwegend 49% 5 Bewaarplicht (art. 5 EPV) zeer zwaarwegend 55% 35 Aanwijzing functionaris gegevensbescherming (art. 35 EPV) zwaarwegend 57% 7 Voorwaarden toestemming (art. 7 EPV) zeer zwaarwegend 59% 6 Rechtmatigheidsgrondslagen (art. 6 EPV) zwaarwegend 64% 11 Privacy beleid (art. 11 EPV) zwaarwegend 70% 81 Verwerking persoonsgegevens over de gezondheid (art. 81 EPV) zwaarwegend 71% 5 Beginselen (art. 5 EPV) zeer zwaarwegend 74% 30 Beveiliging (art. 30 EPV) zeer zwaarwegend 86% 11
Implementatie EPV door de UMC s Melden datalekken (Wbp) Stand van zaken Algemene procedure datalekken voor de UMC s opgesteld. Deze moet elk UMC uitwerken/aanpassen naar de eigen, reeds bestaande werkwijze en organisatie. - Bijbehorende beslisboom wel/niet melden aan CBP en betrokkene(n) in opzet beschikbaar Beoogd resultaat - Procedure voorzien van (voorbeeld) casuïstieken - implementatie van de procedure in de UMC s 12
Implementatie AVG door de UMC s Evaluatie stand van zaken (begin2015) Europese besluitvorming loopt uit; deadline schuift op Nederlandse wetgever versnelt op belangrijke onderdelen Sancties straks tot 800.000 Verantwoordelijke straks aansprakelijk volgens bestuursrecht Niet alle UMC s voldoende capaciteit en inzet V.w.b. gezamenlijke activiteiten niet voldoende tempo Gegevensuitwisseling rond de zorg een snel groter wordend issue Opzet en aanpak moet bijgesteld 14
Inhoudelijk Doeleinden voor verwerking: -gegevensverstrekking (incl. transborder data flow etc.), -(duurzame) opslag, -kwaliteit van gegevens -bewaartermijnen en vernietigingstermijnen (incl. digitale duurzaamheid), -documentatie, -beveiliging, -versleuteling, -rol van 'trusted third parties', -rechten van betrokkene, -wetenschappelijke output beschikbaar te maken in verband met privacy (open data), -samenwerken/ afhankelijkheid met bedrijfsleven, -delen van gegevens, anonimiseren en pseudonimiseren, -big data en hoe de privacy hierbij te verzekeren.
Implementatie EPV door de UMC s Plan van aanpak: opzet en fasering Gezamenlijk regie & voorbereiding <-> apart implementeren eigen UMC 1. Initiatief: Verkennen draagvlak NFU (afgerond) 2. Verkenning: Rapportage (afgerond) 3. Voorbereiding: Instrumentarium; 4. Uitvoering I: Aantoonbaar Wbp-auditproof (incl. datalekken, toegang op basis behandelrelatie, toestemming voor uitwisseling) 5. Uitvoering II: Aanvulling en verdieping t.b.v. de EPV 6. Validatie en consolidatie: aantoonbaar EPV-auditproof 16
Bijstelling implementatie AVG door de UMC s Nieuwe planning Nieuwe aanpak bespreken bij S&F en SIG-IB/PB 1 Maart in elk UMC starten met voorbereiding 1 e Werkconferentie: eind maart uitwisselen uitgangsposities April-mei-juni: realisatie alle vijf onderwerpen in elk UMC tempo afhankelijk van lokale omstandigheden koplopers naast volgers; waar mogelijk kijken bij de buren bij uitwisseling inspelen op concrete casussen (b.v. DICA als pilot) 2 e werkconferentie: uitwisselen resultaten en best practises Afronden uitvoering (lokale verbetering; puntjes op de i ) Eind juli: vijf onderwerpen geïmplementeerd in alle UMC s September: evaluatie proces en resultaten (regiegroep met FG s) en nieuwe planning voor de resterende onderwerpen. 17
EPV Relatie met projectgroep vanuit het Hoger Onderwijs (SURF) Aparte EPV werkgroepen die samenwerken 1. Verwerken van persoonsgegevens NFU specifiek 2. bij UMC s wordt veelal onderzoek gedaan in een medische setting, hetgeen een extra gevoeligheid met zich meebrengt (bijzondere gegevens volgens de Wbp, Wgbo van toepassing) 3. binnen UMC s wordt meer onderzoek gedaan met lichaamsmateriaal en daardoor is ook medisch-ethische wet- en regelgeving van toepassing (Wmo, gedragscodes GG, 4. bij SURF meer nadruk op onderwijs/ praktijk en onderzoek
NFU Data4LifeSciences Outline NFU Program Data4LifeSciences : Dean approved Authors: Jan Willem Boiten Erik Flikkenschild Rob Hooft Marc Rietveld Morris Swertz Version 0.7 September 30, 2014
NFU Data4LifeSciences projecten 6. Content and organization of work packages (plateau 1) 6.1. Work package 1: Harmonize data stewardship guidelines 6.2. Work package 2: Harmonize research IT foundations (architecture) 6.3. Work package 3: Discovery and access to data and samples (catalogues) 6.4. Work package 4: Biomedical data sharing & analysis 6.5. Work package 5: Using electronic health records for research 6.6. Work package 6: Good Research Practice 6.7. Work package 7: Facilities for high-throughput data processing 6.8. Work package 8: Coordination of requests (The Hague and Brussels ) 6.9. Work package 9: Coordinate access to experts and support 6.10. Work package 10: Public relations and communications 6.11. Work package 11: Towards clear governance model
Questions & answers e.flikkenschild@lumc.nl