5. WBP-2
• Verwerking mag alleen voor:
• duidelijk omschreven en bepaald doel
• dat kenbaar is en
• gerechtvaardigd is.
• Gerechtvaardigde verwerking is:
• ondubbelzinnige toestemming;
• uitvoering overeenkomst;
• noodzakelijk voor nakoming wettelijke verplichting
• noodzakelijk voor publieke taak
6. WBP-3
• Toestemming
• Ondubbelzinnig, twijfel uitgesloten
• Bewijslast bij verantwoordelijke verwerking
• Minderjarigen < 16, toestemming ouder
• ieder moment worden ingetrokken, 5.2 WBP
7. WBP-4
• Verantwoordelijke:
• Die doel en middelen van de verwerking bepaalt
• Patiëntendossier van ziekenhuis ?
• ICT-praktijksysteem van apotheker ?
• Bewerker:
• die voor verantwoordelijke gegevens verwerkt, zonder
aan zijn gezag te zijn onderworpen
• ICT systeem verpleeghuis “patiënten-planner” op
externe server IT-bedrijf?
• Verantwoordelijke blijft verantwoordelijk
WBP
• Overeenkomst verantwoordelijke-bewerker
9. Verwerking gegevens gezondheid
• Verwerking gegevens gezondheid mag
alleen door (21-1 WBP):
• a. hulpverleners, instellingen gezondheidszorg of
maatsch. dienstverlening;
• b. verzekeraars;
• c. scholen;
• d. reclasseringsinstelling, de raad voor de
kinderbescherming;
• e. Justitie;
• f. bestuursorganen, pensioenfondsen,
werkgevers;
10. Verwerking gegevens gezondheid
• Noodzakelijkheidseis (21-1 WBP):
• Gezondheidsgegevens mogen alleen worden
verwerkt: voor zover dat met het oog op een
goede behandeling of verzorging van de
betrokkene, dan wel het beheer van de
betreffende instelling of beroepspraktijk
noodzakelijk is;
• Beheer:
• kwaliteitsborging, intercollegiaal, financieel
11. Verwerking gegevens gezondheid
• Geheimhoudingsplicht (21-2 WBP) :
• en mits door personen die uit hoofde van ambt,
beroep of wettelijk voorschrift, dan wel krachtens
een overeenkomst tot geheimhouding zijn verplicht.
• Wet BIG: artsen, tandartsen, apothekers,
verpleegkundigen, etc.;
• Beroepsregels: bijv: maatschappelijk werkers
• Overeenkomst: medewerkers zorginstellingen of
externen
12. WBP-9
• Overige eisen WBP onverminderd van kracht
• Dus 2 stappen toets:
• toets artikel 21 WBP
• toets overige eisen WBP zoals gerechtvaardigde
grondslag (uitv. overeenkomst, toestemming,
wettelijk voorschrift)
• WGBO vult geheimhoudingsplicht in zorg
nader in
13. WGBO
• WGBO, doel:
• versterking positie patiënt in kader behandelingsovk.
met hulpverlener (indiv./instelling): BW 7:446 e.v.
• Dossierplicht (7:454 BW):
• patiëntendossier
• Geheimhoudingsplicht (7:457 BW):
• verstrekking/inzage/ afschrift van gegevens
patiëntendossier niet aan anderen dan patiënt, tenzij
• aan rechtstreeks bij behandeling betrokkenen/verv.
• toestemming patiënt
• wettelijke plicht
14. Geheimhoudingsplicht-1
• Verstrekking aan rechtstreeks
betrokkenen uitvoering behandeling
(7:457-2 BW):
• assistenten
• geconsulteerde collega’s
• administratie medewerkers (extern bureau, mits
bewerker ogv WBP)
• Verstrekking aan vervangers
• mits en voor zover verstrekking aan hen
noodzakelijk voor hun werkzaamheden in kader
behandeling (noodzakelijkheidseis)
16. Geheimhoudingsplicht-3
• -vervolg- toestemming patiënt
• Veronderstelde toestemming bij
verstrekking aan:
• rechtsreeks bij behandeling betrokkenen
• vervanger van behandelaar
• Toestemming kan worden ingetrokken
• voor bepaalde hulpverleners of gegevens
• dus: in ICT autorisatie op niveau gegevens en
indiv. hulpverleners
• Zonder informatie vooraf géén
toestemming
17. Informatieplicht-1
• 33-34 WBP:
• Verantwoordelijke moet informeren over:
• identiteit verantwoordelijke
• doeleinden verwerkingen
• andere vereiste info voor zorgvuldige verwerking
• WGBO:
• Hulpverlener moet informeren over:
• aard/doel behandeling (7:448 BW)
• Geen andere expliciete informatieplicht
• Impliciet wel: verstrekking gegevens gezondheid
aan anderen dan patiënt, waarvoor toestemming is
vereist
• uitdrukkelijke en veronderstelde toestemming
18. Informatieplicht-2
• Praktische tips (voorzover mogelijk):
• patiënt vooraf informeren via brochure
• transparantie loont
• toestemming op schrift via formulier
• ICT inrichten op mogelijkheid van bezwaar en
intrekking toestemming
24. Handhaving CBP ziekenhuizen
• 2007: onderzoek IGZ CBP informatiebeveiliging
twintig ziekenhuizen
• Allemaal onvoldoende
• Plan van aanpak voor 15-10-2008
25. Handhaving CBP ziekenhuizen
• 8 juni 2009:
• brief CBP aan vijf ziekenhuizen dd. 2 juni;
• persbericht met toelichting op deze brieven.
• Een ziekenhuis geen maatregel.
• Voldeed al bijna aan norm.
• Dwangsommen vier ziekenhuizen:
• € 1.000,- of € 2.000,- per dag per overtreding;
• Max. € 30.000,- of € 60.000,- per overtreding.
27. Beveiligingseisen artikel 13 WBP
• Beveiliging tegen
• verlies en/of
• enige vorm van onrechtmatige verwerking
alsmede
• onnodige verzameling en/of
• verdere verwerking van persoonsgegevens
• Beveiligingsmaatregelen
• technisch
• wachtwoorden, smartcards, back-ups, versleuteling, logfiles,
virusbeveiliging, etc.
• organisatorisch
• afgesloten ruimtes, screening personeel, brandbeveiliging,
clean desk policy, etc.
28. Beveiligingseisen artikel 13 WBP
• Beveiligingsbeleid, beveiligingsplan en implementatie van het
stelsel van maatregelen en procedures
• Administratieve organisatie
• Beveiligingsbewustzijn
• Eisen te stellen aan personeel
• Inrichting van de werkplek
• Beheer en classificatie van de ICT infrastructuur
• Toegangsbeheer en -controle
29. Beveiligingseisen artikel 13 WBP
• Netwerken en externe verbindingen
• Gebruik van software van derden
• Bulkverwerking van persoonsgegevens
• Bewaren van persoonsgegevens
• Vernietiging van persoonsgegevens
• Calamiteitenplan
• Uitbesteden van en overeenkomsten voor de verwerking van
persoonsgegevens
30. Beveiligingseisen artikel 13 WBP
• “Passend niveau”
• de stand van de techniek
• de kosten van de tenuitvoerlegging
• gelet op
• de risico's die de verwerking
• de aard van te beschermen gegevens
• “Een eenvoudig of vrij goedkoop te nemen
beveiligingsmaatregel moet genomen
worden”
31. Beveiligingseisen artikel 13 WBP
• Algemene nadere uitwerking:
• Rapport “Beveiliging van persoonsgegevens” (2001) van
het CBP
• Gratis te lezen op http://www.cbpweb.nl
• Uitwerking specifiek voor de zorg:
• NEN-normen 7510-7512
• Te bestellen via http://www.nen7510.org/ of
http://www.nen.nl/ tegen betaling van € 43,- per norm
32. Beveiligingseisen artikel 13 WBP
• CBP toetst aan NEN-norm 7510
• Nadere uitwerking
• NEN 7511-1
• Toetsbaar voorschrift complexe organisaties
• NEN 7511-2
• Toetsbaar voorschrift samenwerkingsverbanden
• NEN 7511-3
• Toetsbaar voorschrift solopraktijken
• NEN 7512
• Vertrouwensbasis voor gegevensuitwisseling
33. NEN 7510, 7511 en 7512
Algemene kader NEN 7510 plus…
Met directie Zonder directie
Met eigenstandige Complexe organisaties Samenwerkingsverband
informatievoorziening
(NEN 7511-1) (NEN 7511-2)
Zonder eigenstandige Samenwerkingsverband Solopraktijk
informatievoorziening
(NEN 7511-2) (NEN 7511-3)
…plus aanvullingen NEN 7512 voor gegevensuitwisseling
35. Juridisch kader autorisaties
• Wet bescherming persoonsgegevens
• Wet geneeskundige behandelingsovereenkomst
• Wet op de beroepen in de individuele
gezondheidszorg
• Wetboek van Strafrecht
36. Spanningsveld hulpverleners
Dossierplicht Geheimhoudings Zorgplicht
plicht
•Artikel 7:454 BW •Artikel 88 Wet BIG •Goed
•Wet gebruik BSN in •Artikel 272 Wetboek opdrachtnemerschap
de zorg (EPD) van Strafrecht kan inschakeling
•Artikel 7:457 BW derden vereisen
(7:401 BW)
38. Wie mag er bij het dossier?
• Artikel 16 WBP: verbod om bijzondere
persoonsgegevens te verwerken
• Bijzondere persoonsgegevens: gegevens omtrent
• godsdienst of levensovertuiging;
• ras;
• politieke gezindheid;
• gezondheid;
• seksuele leven;
• lidmaatschap van een vakvereniging.
39. Wie mag er bij het dossier?
• Artikel 16 WBP: verbod om bijzondere
persoonsgegevens te verwerken
• Bijzondere persoonsgegevens: gegevens omtrent
• gezondheid;
• Memorie van Toelichting:
• “Het enkele gegeven dat iemand ziek is, is een
gezondheidsgegeven”
• “Het begrip «gezondheid» moet niettemin ruim worden
opgevat; het omvat (…) alle gegevens die de geestelijke of
lichamelijke gezondheid van een persoon betreffen.”
40. Wie mag er bij het dossier?
• Artikel 21 WBP: beperkte uitzondering
• Mits beroepsgeheim
• Noodzakelijkheidcriterium
• Artikel 23 WBP: uitdrukkelijke toestemming
betrokkene
41. Wie mag er bij het dossier?
• Let op met ASP / SAAS software
• Softwaredienstverlener onder omstandigheden zelf
als verantwoordelijke aan te merken
• Deze valt echter niet onder uitzondering artikel 21
WBP!
• Terugvallen op uitdrukkelijke toestemming artikel
23 WBP
42. Wie mag er bij het dossier?
• Zorginstelling mag onder voorwaarden bijzondere
persoonsgegevens verwerken (WBP)
• Individuele hulpverlener mag gegevens niet aan
derden verstrekken (WGBO / Wet BIG)
• Uitgezonderd zijn de rechtstreeks bij de
uitvoering van de behandelingsovereenkomst
betrokken derden (WGBO)
• Die uitzondering is een wettelijk vermoeden van
toestemming van de patiënt
43. Wie mag er bij het dossier?
Zonder toestemming patiënt Met toestemming patiënt
De hulpverlener Volledige dossier Iedereen Afhankelijk
toestemming
Andere •Rechtstreeks
hulpverleners betrokken
•Noodzakelijk
Administratie •Rechtstreeks
betrokken
•Noodzakelijk
•Geheimhouding
•Bewerker
44. Wie mag er bij het dossier?
Zonder toestemming patiënt Met toestemming patiënt
De hulpverlener Volledige dossier Iedereen Afhankelijk
toestemming
Andere Alleen voor
hulpverleners zover
rechtstreeks
betrokken bij
uitvoering
behandelingsove
reenkomst
Administratie Alleen voor
zover nodig voor
administratie en
mits aan
geheimhouding
gebonden
Toestemming kan altijd worden ingetrokken!
46. Wie mag er bij het dossier?
• Individuele autorisaties
• Groepsaccounts uit den boze
• Gegevens classificeren
• Autorisatie daarop afstemmen
• Omzeilen in noodsituaties mogelijk
• Mits beleid hiervoor
• Mits gelogd
• Veilige wachtwoorden
• Alles loggen
• Systeemklokken moeten juiste tijd aangeven
47. Selectie te nemen maatregelen
• Geen info autorisatieniveau in gebruikersnaam
• Dus niet: arts104 of secretaresse105
• Bestrijd verborgen communicatiekanalen
• USB-poort, webmail, web 2.0 diensten
• Kritische apparatuur achter slot en grendel
• Bescherming kabels afluisteren en beschadiging
• Periodieke controle toegangsrechten
48. Een scenario uit NEN 7512
• Scenario: huisarts informeert patiënt over uitslag
• Authenticatieniveau patiënt: matig
• Veilig wachtwoord, altijd versleuteld verzonden
• Biometrie
• Fysiek authenticatiemiddel
• Digitale certificaten, mits 2e authenticatiefactor
• Versleutelde verbinding
• Dus normale e-mail uitgesloten!
• Elektronische handtekening zorgverlener
• Vereist sterk authenticatieniveau
• Biometrie met 2e authenticatiefactor
• Certificaat op smartcard met veilig wachtwoord of
biometrie