Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

Vergelijkbare documenten
Arbodienst. Klacht; verzoeker/arbodienst

Vangnetregeling huursubsidie

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Definitieve bevindingen Rijnland ziekenhuis

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Definitieve bevindingen SPITZ Midden-Holland

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

Definitieve bevindingen MC/Lelystad

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

Het CBP voldoet hierbij aan dit verzoek. Kader

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

Klager bevindingen en beoordeling inzake klacht verzoeker/scholengemeenschap

Bevindingen De bevindingen van het CBP luiden als volgt:

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

Hieronder treft u het verloop van de zaak aan en de definitieve bevindingen van het CBP.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Op grond van de door X verstrekte gegevens is de klacht als volgt geformuleerd:

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Gelders Archief. Defintieve bevindingen inzake onderzoek Gelders Archief. Geachte,

de Minister van VWS concept wetsvoorstel structurele maatregel wanbetalers

Bij brief heeft het CBP u laten weten de beslissing op het bezwaarschrift te verdagen.

verklaring omtrent rechtmatigheid

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

Nederlands Instituut van Psychologen inzagerecht testgegevens

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

Op grond van de door verzoeker verstrekte informatie is de klacht als volgt geformuleerd:

Winkelier. Winkelier creditcard; definitieve bevindingen

Klacht Op grond van de door verzoekster verstrekte gegevens is de klacht als volgt geformuleerd:

De minister van Infrastructuur en milieu

College bescherming persoonsgegevens. Onderzoek naar het gebruik van waarneemdossiers bij Stichting. Gezondheidscentra Haarlemmermeer

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

t.a.v. de hoofdofficier van justitie ONS KENMERK z

Inhoud van het wetsvoorstel

R e g i s t r a t i e k a m e r. Sociale Verzekeringsbank. 31 augustus

De Minister van Justitie

College bescherming persoonsgegevens. Huisartsendienst Twente-Oost U.A. Rapport definitieve bevindingen

Stichting RDC. Informatieverplichting

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

de Minister van Justitie de heer mr. E.H.M. Hirsch Ballin Postbus EH DEN HAAG

De Minister van Volksgezondheid, Welzijn. Advies conceptwijziging Besluit gebruik BSN in de zorg

22 oktober Privacyreglement Stichting Tuchtrecht Banken

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

College bescherming persoonsgegevens. Huisartsenpost Nightcare BV te Heerlen. Rapport definitieve bevindingen

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

De staatssecretaris van Sociale Zaken en Werkgelegenheid De heer ing. A. Aboutaleb Postbus LV Den Haag. Advies inzake wijziging van de WWB

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

NVAB. A. ter Linden en N.M. van Seumeren

De directeur-generaal Organisatie en Bedrijfsvoering Rijk heeft bij brief van 1 december 2009 de gestelde vragen beantwoord.

Algemene Privacy folder. Wet Bescherming Persoonsgegevens

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

Privacy Reglement Domijn

Bijgaand treft u het advies van het CBP aan. Het advies kan als volgt worden samengevat.

De Minister van VWS, de heer drs. J.F. Hoogervorst Postbus EJ DEN HAAG. mw. mr. V.C. Lucieer

5. Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, in het algemeen de patiënt. Artikel 3 Wijze van verkrijging van de gegevens

In deze brief behandel ik achtereenvolgens: 1. De situatie van gegevensverwerking binnen BJZ zoals u die beschrijft 2. De beantwoording van uw vragen

Naar aanleiding van de klacht van verzoeker van 3 juni 2004 heeft het College bescherming persoonsgegevens (CBP) een onderzoek ingesteld.

Ons kenmerk [VERTROUWELIJK] Contactpersoon [VERTROUWELIJK]

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

PRIVACYVERKLARING DUISENBURGH

SCA Hygiene Products Zeist B.V. AANGETEKEND. Eindbrief onderzoek CBP. Geachte directie,

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 20 februari Ons kenmerk z Onderwerp

POSTADRES BEZOEKADRES

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

College bescherming persoonsgegevens

Privacyreglement OCA(Zorg)

Aan de minister van Justitie Ontwerpbesluit bloedtest in strafzaken in geval van een ernstige besmettelijke ziekte

Uw medische gegevens elektronisch delen?

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

De Staatssecretaris van Veiligheid en Justitie Advies wetsvoorstel gebruik camerabeelden en meldplicht datalekken.

Wet Bescherming Persoonsgegevens

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

R e g i s t r a t i e k a m e r. ..'s-gravenhage, 4 mei Ons kenmerk 98.V Onderwerp standpunt over gegevensverstrekking

De staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV Den Haag. Wetgevingsadvies Wet participatiebijdrage quotumdoelstelling

Privacy Statement WeHelpen.nl

Met het navolgende advies voldoet het CBP aan dat verzoek.

Dienst Maatschappelijke Ontwikkeling ONS KENMERK z

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Rapport definitieve bevindingen

Middels deze brief stelt het CBP u op de hoogte van zijn bevindingen.

Privacyverklaring Meldkindersekstoerisme

Uw medische gegevens elektronisch delen?

Privacyreglement. Alles wat u moet weten over uw gegevens

Privacyreglement van Stichting 070Watt;

Privacy Verklaring Definities Toegang tot Innerview

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

Uw medische gegevens elektronisch delen? Alleen met uw toestemming!

gewoondoenreintegratie

Privacyreglement van De Zaak van Ermelo

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Ministerie van Verkeer en Waterstaat Wijziging Wegenverkeerswet in verband met het alcoholslotprogramma

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN Flevoziekenhuis Raad van Bestuur ONS KENMERK z2005-1372 CONTACTPERSOON UW BRIEF VAN 23 februari 2006 UW KENMERK ES06.022ml ONDERWERP verzoeker/flevoziekenhuis Naar aanleiding van de klacht van mevrouw X (hierna te noemen: verzoeker) heeft het College bescherming persoonsgegevens (CBP) een onderzoek ingesteld. In bijgaand rapport treft u de conclusies van het onderzoek aan. Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan. 1. Het veld opmerkingen U constateert met ons dat het veld opmerkingen bovenmatig is in de zin van art. 11 lid 1 van de Wet bescherming persoonsgegevens (WBP). Het CBP heeft op 13 april 2006 telefonisch van u vernomen dat @-pointment inmiddels zodanig is aangepast, dat de opmerkingen niet meer zichtbaar zijn nadat de afspraak is gemaakt. Het CBP onderschrijft dat na deze aanpassing @- pointment niet meer in strijd is met art. 11 lid 1 WBP. 2. Zijn afspraakgegevens 'persoonsgegevens betreffende de gezondheid' (art. 16 WBP) en/of inlichtingen over de patiënt' (art. 7:457 BW)? U geeft aan dat afspraakgegevens de buitenkant betreffen en dat de genoemde wettelijke bepalingen slechts beogen de binnenkant te beschermen. Met binnenkant wordt dan bedoeld: verrichte onderzoeken, uitslagen, diagnoses, correspondentie, enz. Verder betoogt u dat het feit dat iemand een afspraak heeft op een polikliniek niet altijd tot de gevolgtrekking kan leiden dat iemand ziek is. Het CBP stelt hierop het volgende. BIJLAGEN 1 BLAD 1

ONS KENMERK z2005-1372 persoonsgegevens betreffende iemands gezondheid (art. 16 WBP) Het begrip persoonsgegevens betreffende iemands gezondheid (art. 16 WBP) heeft een ruime strekking. Volgens de WBP is de loutere mededeling dat iemand ziek is bijvoorbeeld al een gegeven betreffende iemands gezondheid. Ondanks het feit, dat, zoals u terecht stelt, de aanwezigheid van een afspraak op een polikliniek niet altijd tot de gevolgtrekking kan leiden dat iemand ziek is, is er natuurlijk wel degelijk een significante correlatie tussen beide gegevens. Daarnaast zijn afspraakgegevens naar hun aard specifieker dan het enkele feit dat iemand ziek is, omdat zij, afhankelijk van de grootte van de afdeling (of polikliniek) en de breedte van de specialisatie een min of meer nauwkeurig - beeld kunnen geven van de betreffende ziekte. inlichtingen over de patiënt (art. 7:457 lid 1 Burgerlijk Wetboek (BW)) Ook niet-strikt medische zaken kunnen onder het begrip inlichtingen over de patiënt vallen. De ratio achter het medisch beroepsgeheim is de vertrouwensrelatie tussen patiënt en arts. De arts dient deze vertrouwensrelatie gestalte te geven onder meer door de gegevens die hij in verband met de behandeling van de patiënt verzamelt zo veel mogelijk af te schermen voor anderen. Zoals eerder aangegeven behoren naar het oordeel van het CBP ook afspraakgegevens tot deze categorie. Het door u gemaakte onderscheid tussen buitenkant en binnenkant is naar het oordeel van het CBP dan ook niet doorslaggevend bij de beoordeling of het medisch beroepsgeheim van toepassing is. 3. Heeft Flevoziekenhuis in de huidige opzet een passend beveiligingsniveau bereikt? Zoals boven gesteld is op de gegevens in @-pointment het medisch beroepsgeheim van toepassing. Zoals u zelf ook aangeeft, vallen deze gegevens in de hoogste risicoklasse, risicoklasse III. Gegevens betreffende de gezondheid, waarop het medisch beroepsgeheim niet van toepassing is, worden in de regel ondergebracht in risicoklasse II. Bij een hoge gevoeligheidsgraad in het maatschappelijk verkeer worden zulke gegevens alsnog in risicoklasse III geplaatst. 1 Voorts geeft u aan dat volgens het rapport Beveiliging van het EPD van ZonMw het EPD in risicoklasse II is ingedeeld. Gezien het bovenstaande is dit rapport op dit punt onjuist. Het EPD dient te worden ingedeeld in risicoklasse III. 1 Registratiekamer, Beveiliging van persoonsgegevens, A&V-studie 23, 2001, p. 28 BLAD 2

ONS KENMERK z2005-1372 Afsluiting Het CBP verneemt graag binnen drie weken van u tot welke aanpassingen van @-pointment u - gezien de bevindingen van het CBP - zult overgaan. Het CBP wijst u erop dat ook de melding van het systeem (bij ons geregistreerd onder nummer m1305444) mogelijk dient te worden aangepast. Het besluit van het CBP om het onderzoek te beëindigen is geen besluit in de zin van de Algemene wet bestuursrecht. U kunt derhalve hiertegen geen bezwaarschrift indienen. U kunt het CBP alleen verzoeken om terug te komen op zijn besluit wanneer u nieuwe feiten en omstandigheden kunt aangeven die kunnen leiden tot een andere beslissing. Deze brief zal in kopie ter informatie worden gezonden aan alle ziekenhuizen, NVZ, KNMG, NPCF en IGZ en zal daarnaast worden geplaatst op de website van het CBP. Het CBP vertrouwt erop u hiermee voldoende te hebben geïnformeerd. Hoogachtend, mw. mr. dr. J. Beuving Collegelid BLAD 3

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20 TEL 070-381 13 00 FAX 070-381 13 01 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl X /Flevoziekenhuis z2005-1372

9 mei 2006 Naar aanleiding van de klacht van X (hierna te noemen: verzoeker) uit Almere heeft het College bescherming persoonsgegevens (CBP) een onderzoek ingesteld. Hieronder volgen de conclusies van het onderzoek. Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd: Via de website van Flevoziekenhuis te Almere is het mogelijk om zonder toegangscodes of andere afschermende procedures toegang te verkrijgen tot patiëntinformatie als getoond in de bijlage van de brief van verzoeker aan de klachtenfunctionaris van Flevoziekenhuis van 19 oktober 2005. Onderzoek Bij brief van 2 december 2005 heeft het CBP Flevoziekenhuis in de gelegenheid gesteld op de klacht te reageren. Deze reactie werd op 20 december 2005 ontvangen. Naar aanleiding van deze reactie heeft het CBP bij brief van 23 december 2005 verzoeker verzocht enkele aanvullende vragen te beantwoorden. Deze reactie werd op 10 januari 2006 ontvangen. Bij brief van 12 januari 2006 heeft het CBP Flevoziekenhuis in de gelegenheid gesteld hierop te reageren. Deze reactie werd op 30 januari 2006 ontvangen. Bij brief van 9 februari 2006 heeft het CBP Flevoziekenhuis de voorlopige bevindingen van het onderzoek medegedeeld. Flevoziekenhuis heeft hierop bij brief van 23 februari 2006 gereageerd. Bevindingen De bevindingen van het CBP luiden als volgt:

9 mei 2006 Standpunt Flevoziekenhuis Voor de afspraakgerelateerde gegevens geldt dat deze pas zichtbaar worden gemaakt indien men op de hoogte is van de exacte afspraakdatum in combinatie met de inloggegevens. Aanvullende afscherming zou het systeem minder laagdrempelig en zeer kostbaar maken. Voor de gegevens die zichtbaar zijn via @-pointment is een passend beveiligingsniveau gerealiseerd, zoals art. 13 WBP eist. Buiten het veld opmerkingen bevat @-pointment geen gegevens betreffende iemands gezondheid (art. 16 jo. 21 WBP). Uit het feit dat iemand een afspraak heeft bij een polikliniek of een specialist kunnen geen conclusies worden getrokken met betrekking tot een ziekte of de aard daarvan. De gegevens zijn niet bovenmatig en worden op een zorgvuldige wijze verwerkt. Nadere beschrijving van de feiten Met @-pointment kan een patiënt via internet afspraken maken, inzien en wijzigen. De onderhavige klacht heeft slechts betrekking op het inzien van de gegevens. Na het invullen van: - achternaam - geboortedatum - geslacht - emailadres en - afspraakdatum is de volgende informatie over een afspraak te zien: - tijdstip afspraak - afdeling/polikliniek - kamer/specialist - opmerkingen 1. Het veld "opmerkingen" kan worden ingevuld door medewerkers van het ziekenhuis en kan derhalve ook diagnose-informatie bevatten (zoals bij verzoeker het geval was). Norm / wettelijk kader De relevante wettelijke bepalingen zijn opgenomen in de bijlage bij dit rapport. Beoordeling 1 Inmiddels heeft Flevoziekenhuis het systeem dusdanig aangepast dat de opmerkingen in @-pointment niet meer zichtbaar zijn nadat de afspraak is gemaakt.

9 mei 2006 Aard van de gegevens In het systeem zijn afspraakgegevens (tijdstip, afdeling/polikliniek, kamer/specialist) en zogenaamde opmerkingen zichtbaar. Zowel de afspraakgegevens als de opmerkingen behoren tot de persoonsgegevens betreffende iemands gezondheid (art. 16 WBP) en zijn inlichtingen over de patiënt in de zin van art. 7:457 lid 1 Burgerlijk Wetboek (BW). Het feit dat iemand een afspraak heeft bij een bepaalde specialist, impliceert minimaal dat er aanleiding is iemands gezondheid te onderzoeken. Afhankelijk van de grootte van de afdeling (of polikliniek) en de breedte van de specialisatie kunnen afspraakgegevens voorts een min of meer nauwkeurig - beeld geven van de betreffende ziekte. Het veld opmerkingen kan naar haar aard allerlei informatie bevatten. In de relatie hulpverlener-patiënt kan het dus ook diagnose-informatie bevatten (zoals bij verzoeker het geval was). Relevantie van de gegevens Gezien de doelstelling van het @-pointmentsysteem (afspraken maken via internet) is inzage via de website van het veld opmerkingen niet ter zake dienend en bovenmatig. Beveiliging Op grond van artikel 13 WBP dient de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Ter beoordeling van de maatregelen die moeten worden getroffen moet rekening worden gehouden met een aantal aspecten, waaronder de risico s die de verwerking en de aard van de te beschermen gegevens met zich brengen. Hierover heeft de Registratiekamer (de voorganger van het CBP) een publicatie uitgebracht. Deze publicatie, Beveiliging van persoonsgegevens (A&V-studie 23, april 2001) is te vinden op de website van het CBP (www.cbpweb.nl, via nieuws en publicaties, publicaties, A&V-studies ). In casu is sprake van persoonsgegevens betreffende de gezondheid, waarop het medisch beroepsgeheim van toepassing is. Deze gegevens vallen in de hoogste risicoklasse, risicoklasse III. De maatregelen die moeten worden getroffen zijn tevens afhankelijk van de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen. Het beter afschermen van gegevens bijvoorbeeld door middel van een wachtwoord is naar het oordeel van het CBP niet zeer kostbaar, zoals Flevoziekenhuis stelt, of technisch onhaalbaar. Talloze websites gebruiken immers een wachtwoord om de toegang tot (gedeelten van) hun website te beperken. @-pointment biedt deze mogelijkheid ook maar Flevoziekenhuis heeft er voor gekozen hier geen gebruik van te maken (zie Bijlage 2 bij de brief van Flevoziekenhuis van 19 december 2005).

9 mei 2006 De vraag is nu of sprake was van een passend beschermingsniveau. Zoals in A&Vstudie 23 is beschreven (zie pagina 28) moet voor de beveiliging van persoonsgegevens in risicoklasse III worden voldaan aan de hoogste normen. In dit geval is het vereiste dat kennis moet worden gedragen van achternaam, geboortedatum, geslacht, emailadres en afspraakdatum als beveiligingsmaatregel onvoldoende. Achternaam, geboortedatum, geslacht en emailadres zijn sowieso gemakkelijk te achterhalen gegevens. Van de afspraakdatum zullen minder mensen kennis dragen, echter ook dit gegeven kan door feitelijke waarneming of door raadpleging van een (elektronische) agenda - bijvoorbeeld door huisgenoten, collega s of de werkgever voor anderen beschikbaar zijn. Beroepsgeheim Door de persoonsgegevens onvoldoende te beveiligen heeft Flevoziekenhuis aldus de mogelijkheid gecreëerd dat derden kennis konden nemen van deze gegevens. Het creëren van deze mogelijkheid is in strijd met het medisch beroepsgeheim, op grond waarvan de hulpverlener aan anderen dan de patiënt geen inzage in de gegevens over de patiënt mag geven. Conclusie Zoals uit het voorgaande blijkt, is het CBP van oordeel dat Flevoziekenhuis in strijd heeft gehandeld met de artikelen 6, 9 lid 4, 11 lid 1, 13 en 16 jo. 21 WBP en art. 7:457 BW.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback