SlideShare ist ein Scribd-Unternehmen logo

Workshop "Privacy en ICT in de zorg"

Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
BusinessTechnologieGesundheit & Medizin
1 von 49
Privacy en ICT in de zorg Jaap Kronenberg Mark Jansen Arnhem, 25 juni 2009
Verantwoording In deze presentatie wordt algemene en beknopte informatie verstrekt over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee juridisch advies te geven voor concrete situaties. Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de inhoud ervan. © Dirkzwager advocaten & notarissen N.V. 2009. Alle rechten voorbehouden.
NOS Journaal 20.00 uur 2 april 2009
Wet Bescherming Persoonsgegevens (WBP-1) • Doel: • bescherming persoonlijke levenssfeer in digitale omgeving • Uitgangspunt: • verwerking persoonsgegevens mag niet, tenzij… • Persoonsgegevens: • gegevens herleidbaar tot natuurlijk persoon • Verwerking: • alle handelingen (ruim begrip)
WBP-2 • Verwerking mag alleen voor: • duidelijk omschreven en bepaald doel • dat kenbaar is en • gerechtvaardigd is. • Gerechtvaardigde verwerking is: • ondubbelzinnige toestemming; • uitvoering overeenkomst; • noodzakelijk voor nakoming wettelijke verplichting • noodzakelijk voor publieke taak
WBP-3 • Toestemming • Ondubbelzinnig, twijfel uitgesloten • Bewijslast bij verantwoordelijke verwerking • Minderjarigen < 16, toestemming ouder • ieder moment worden ingetrokken, 5.2 WBP
WBP-4 • Verantwoordelijke: • Die doel en middelen van de verwerking bepaalt • Patiëntendossier van ziekenhuis ? • ICT-praktijksysteem van apotheker ? • Bewerker: • die voor verantwoordelijke gegevens verwerkt, zonder aan zijn gezag te zijn onderworpen • ICT systeem verpleeghuis “patiënten-planner” op externe server IT-bedrijf? • Verantwoordelijke blijft verantwoordelijk WBP • Overeenkomst verantwoordelijke-bewerker
WBP-5 • Bijzondere persoonsgegevens: • Ras, godsdienst, gezondheid, politieke gezindheid, sexuele leven, lidmaatschap vakbond, e.d. • Verbod verwerking bijzondere persoonsgegevens, tenzij wet toestaat (16 WBP) • Artikelen 17 t/m 23 WBP
Verwerking gegevens gezondheid • Verwerking gegevens gezondheid mag alleen door (21-1 WBP): • a. hulpverleners, instellingen gezondheidszorg of maatsch. dienstverlening; • b. verzekeraars; • c. scholen; • d. reclasseringsinstelling, de raad voor de kinderbescherming; • e. Justitie; • f. bestuursorganen, pensioenfondsen, werkgevers;
Verwerking gegevens gezondheid • Noodzakelijkheidseis (21-1 WBP): • Gezondheidsgegevens mogen alleen worden verwerkt: voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is; • Beheer: • kwaliteitsborging, intercollegiaal, financieel
Verwerking gegevens gezondheid • Geheimhoudingsplicht (21-2 WBP) : • en mits door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. • Wet BIG: artsen, tandartsen, apothekers, verpleegkundigen, etc.; • Beroepsregels: bijv: maatschappelijk werkers • Overeenkomst: medewerkers zorginstellingen of externen
WBP-9 • Overige eisen WBP onverminderd van kracht • Dus 2 stappen toets: • toets artikel 21 WBP • toets overige eisen WBP zoals gerechtvaardigde grondslag (uitv. overeenkomst, toestemming, wettelijk voorschrift) • WGBO vult geheimhoudingsplicht in zorg nader in
WGBO • WGBO, doel: • versterking positie patiënt in kader behandelingsovk. met hulpverlener (indiv./instelling): BW 7:446 e.v. • Dossierplicht (7:454 BW): • patiëntendossier • Geheimhoudingsplicht (7:457 BW): • verstrekking/inzage/ afschrift van gegevens patiëntendossier niet aan anderen dan patiënt, tenzij • aan rechtstreeks bij behandeling betrokkenen/verv. • toestemming patiënt • wettelijke plicht
Geheimhoudingsplicht-1 • Verstrekking aan rechtstreeks betrokkenen uitvoering behandeling (7:457-2 BW): • assistenten • geconsulteerde collega’s • administratie medewerkers (extern bureau, mits bewerker ogv WBP) • Verstrekking aan vervangers • mits en voor zover verstrekking aan hen noodzakelijk voor hun werkzaamheden in kader behandeling (noodzakelijkheidseis)
Geheimhoudingsplicht-2 • Toestemming patiënt (7:457-1 BW) • Uitdrukkelijke toestemming (23-1(a) WBP) • expliciete wilsuiting vereist • ≠ stilzwijgende/impliciete toestemming • Voorbeelden: • >opvolgend behandelaar • bedrijfsarts>werkgever • transmurale zorgteams
Geheimhoudingsplicht-3 • -vervolg- toestemming patiënt • Veronderstelde toestemming bij verstrekking aan: • rechtsreeks bij behandeling betrokkenen • vervanger van behandelaar • Toestemming kan worden ingetrokken • voor bepaalde hulpverleners of gegevens • dus: in ICT autorisatie op niveau gegevens en indiv. hulpverleners • Zonder informatie vooraf géén toestemming
Informatieplicht-1 • 33-34 WBP: • Verantwoordelijke moet informeren over: • identiteit verantwoordelijke • doeleinden verwerkingen • andere vereiste info voor zorgvuldige verwerking • WGBO: • Hulpverlener moet informeren over: • aard/doel behandeling (7:448 BW) • Geen andere expliciete informatieplicht • Impliciet wel: verstrekking gegevens gezondheid aan anderen dan patiënt, waarvoor toestemming is vereist • uitdrukkelijke en veronderstelde toestemming
Informatieplicht-2 • Praktische tips (voorzover mogelijk): • patiënt vooraf informeren via brochure • transparantie loont • toestemming op schrift via formulier • ICT inrichten op mogelijkheid van bezwaar en intrekking toestemming
Dirkzwager
Pauze
Gegevensbeveiliging • Recente handhaving CBP vier ziekenhuizen • Juridisch kader rondom informatiebeveiliging • Meer specifiek: autorisaties
Handhaving
Handhaving CBP ziekenhuizen
Handhaving CBP ziekenhuizen • 2007: onderzoek IGZ CBP informatiebeveiliging twintig ziekenhuizen • Allemaal onvoldoende • Plan van aanpak voor 15-10-2008
Handhaving CBP ziekenhuizen • 8 juni 2009: • brief CBP aan vijf ziekenhuizen dd. 2 juni; • persbericht met toelichting op deze brieven. • Een ziekenhuis geen maatregel. • Voldeed al bijna aan norm. • Dwangsommen vier ziekenhuizen: • € 1.000,- of € 2.000,- per dag per overtreding; • Max. € 30.000,- of € 60.000,- per overtreding.
Beveiliging van persoonsgegevens
Beveiligingseisen artikel 13 WBP • Beveiliging tegen • verlies en/of • enige vorm van onrechtmatige verwerking alsmede • onnodige verzameling en/of • verdere verwerking van persoonsgegevens • Beveiligingsmaatregelen • technisch • wachtwoorden, smartcards, back-ups, versleuteling, logfiles, virusbeveiliging, etc. • organisatorisch • afgesloten ruimtes, screening personeel, brandbeveiliging, clean desk policy, etc.
Beveiligingseisen artikel 13 WBP • Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van maatregelen en procedures • Administratieve organisatie • Beveiligingsbewustzijn • Eisen te stellen aan personeel • Inrichting van de werkplek • Beheer en classificatie van de ICT infrastructuur • Toegangsbeheer en -controle
Beveiligingseisen artikel 13 WBP • Netwerken en externe verbindingen • Gebruik van software van derden • Bulkverwerking van persoonsgegevens • Bewaren van persoonsgegevens • Vernietiging van persoonsgegevens • Calamiteitenplan • Uitbesteden van en overeenkomsten voor de verwerking van persoonsgegevens
Beveiligingseisen artikel 13 WBP • “Passend niveau” • de stand van de techniek • de kosten van de tenuitvoerlegging • gelet op • de risico's die de verwerking • de aard van te beschermen gegevens • “Een eenvoudig of vrij goedkoop te nemen beveiligingsmaatregel moet genomen worden”
Beveiligingseisen artikel 13 WBP • Algemene nadere uitwerking: • Rapport “Beveiliging van persoonsgegevens” (2001) van het CBP • Gratis te lezen op http://www.cbpweb.nl • Uitwerking specifiek voor de zorg: • NEN-normen 7510-7512 • Te bestellen via http://www.nen7510.org/ of http://www.nen.nl/ tegen betaling van € 43,- per norm
Beveiligingseisen artikel 13 WBP • CBP toetst aan NEN-norm 7510 • Nadere uitwerking • NEN 7511-1 • Toetsbaar voorschrift complexe organisaties • NEN 7511-2 • Toetsbaar voorschrift samenwerkingsverbanden • NEN 7511-3 • Toetsbaar voorschrift solopraktijken • NEN 7512 • Vertrouwensbasis voor gegevensuitwisseling
NEN 7510, 7511 en 7512 Algemene kader NEN 7510 plus… Met directie Zonder directie Met eigenstandige Complexe organisaties Samenwerkingsverband informatievoorziening (NEN 7511-1) (NEN 7511-2) Zonder eigenstandige Samenwerkingsverband Solopraktijk informatievoorziening (NEN 7511-2) (NEN 7511-3) …plus aanvullingen NEN 7512 voor gegevensuitwisseling
Autorisaties Wie mag er bij welke gegevens?
Juridisch kader autorisaties • Wet bescherming persoonsgegevens • Wet geneeskundige behandelingsovereenkomst • Wet op de beroepen in de individuele gezondheidszorg • Wetboek van Strafrecht
Spanningsveld hulpverleners Dossierplicht Geheimhoudings Zorgplicht plicht •Artikel 7:454 BW •Artikel 88 Wet BIG •Goed •Wet gebruik BSN in •Artikel 272 Wetboek opdrachtnemerschap de zorg (EPD) van Strafrecht kan inschakeling •Artikel 7:457 BW derden vereisen (7:401 BW)
Spanningsveld automatisering Voordelen koppeling Nadelen koppeling gegevens gegevens •Eenvoudige invoer •Privacybezwaren •Verbanden leggen om zo •Intrekken toestemming patiënt behandeling patiënt te •Meer gegevens, strengere verbeteren beveiliging •Vereenvoudigt programmeerwerk •Vereenvoudigt beheer
Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • godsdienst of levensovertuiging; • ras; • politieke gezindheid; • gezondheid; • seksuele leven; • lidmaatschap van een vakvereniging.
Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • gezondheid; • Memorie van Toelichting: • “Het enkele gegeven dat iemand ziek is, is een gezondheidsgegeven” • “Het begrip «gezondheid» moet niettemin ruim worden opgevat; het omvat (…) alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.”
Wie mag er bij het dossier? • Artikel 21 WBP: beperkte uitzondering • Mits beroepsgeheim • Noodzakelijkheidcriterium • Artikel 23 WBP: uitdrukkelijke toestemming betrokkene
Wie mag er bij het dossier? • Let op met ASP / SAAS software • Softwaredienstverlener onder omstandigheden zelf als verantwoordelijke aan te merken • Deze valt echter niet onder uitzondering artikel 21 WBP! • Terugvallen op uitdrukkelijke toestemming artikel 23 WBP
Wie mag er bij het dossier? • Zorginstelling mag onder voorwaarden bijzondere persoonsgegevens verwerken (WBP) • Individuele hulpverlener mag gegevens niet aan derden verstrekken (WGBO / Wet BIG) • Uitgezonderd zijn de rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken derden (WGBO) • Die uitzondering is een wettelijk vermoeden van toestemming van de patiënt
Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere •Rechtstreeks hulpverleners betrokken •Noodzakelijk Administratie •Rechtstreeks betrokken •Noodzakelijk •Geheimhouding •Bewerker
Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere Alleen voor hulpverleners zover rechtstreeks betrokken bij uitvoering behandelingsove reenkomst Administratie Alleen voor zover nodig voor administratie en mits aan geheimhouding gebonden Toestemming kan altijd worden ingetrokken!
Wie mag er bij het dossier?
Wie mag er bij het dossier? • Individuele autorisaties • Groepsaccounts uit den boze • Gegevens classificeren • Autorisatie daarop afstemmen • Omzeilen in noodsituaties mogelijk • Mits beleid hiervoor • Mits gelogd • Veilige wachtwoorden • Alles loggen • Systeemklokken moeten juiste tijd aangeven
Selectie te nemen maatregelen • Geen info autorisatieniveau in gebruikersnaam • Dus niet: arts104 of secretaresse105 • Bestrijd verborgen communicatiekanalen • USB-poort, webmail, web 2.0 diensten • Kritische apparatuur achter slot en grendel • Bescherming kabels afluisteren en beschadiging • Periodieke controle toegangsrechten
Een scenario uit NEN 7512 • Scenario: huisarts informeert patiënt over uitslag • Authenticatieniveau patiënt: matig • Veilig wachtwoord, altijd versleuteld verzonden • Biometrie • Fysiek authenticatiemiddel • Digitale certificaten, mits 2e authenticatiefactor • Versleutelde verbinding • Dus normale e-mail uitgesloten! • Elektronische handtekening zorgverlener • Vereist sterk authenticatieniveau • Biometrie met 2e authenticatiefactor • Certificaat op smartcard met veilig wachtwoord of biometrie
Nog vragen? • Jaap Kronenberg 026 – 353 83 77 kronenberg@dirkzwager.nl • Mark Jansen 026 – 353 83 23 m.jansen@dirkzwager.nl Borrel

Empfohlen

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
Beroepsgeheim Aww Februari 2012
Beroepsgeheim Aww Februari 2012Beroepsgeheim Aww Februari 2012
Beroepsgeheim Aww Februari 2012
dekster2105
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
AlmereDataCapital
 
Griet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenGriet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinen
imec
 
Privacy in het arbeidsrecht
Privacy in het arbeidsrecht Privacy in het arbeidsrecht
Privacy in het arbeidsrecht
AKD
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
Gemeente Zwijndrecht
 
Presentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerPresentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloer
AKD
 
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 

Empfohlen

AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' AmsterdamAKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD Arbeidsrechtseminar 'Privacy op de werkvloer' Amsterdam
AKD
 
Beroepsgeheim Aww Februari 2012
Beroepsgeheim Aww Februari 2012Beroepsgeheim Aww Februari 2012
Beroepsgeheim Aww Februari 2012
dekster2105
 
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarProf. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
AlmereDataCapital
 
Griet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinenGriet Verhenneman - Privacy in zorg proeftuinen
Griet Verhenneman - Privacy in zorg proeftuinen
imec
 
Privacy in het arbeidsrecht
Privacy in het arbeidsrecht Privacy in het arbeidsrecht
Privacy in het arbeidsrecht
AKD
 
Presentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingenPresentatie GDPR voor Zwijndrechtse verenigingen
Presentatie GDPR voor Zwijndrechtse verenigingen
Gemeente Zwijndrecht
 
Presentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloerPresentatie seminar privacy op de werkvloer
Presentatie seminar privacy op de werkvloer
AKD
 
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Presentatie privacy in de arbeidsrelatie Dirkzwager advocaten & notarissen N.V.
Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
Healthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
Healthcare Conference 2013 : Het Federale eHealthplatform - Frank RobbenHealthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
Healthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
D3 Consutling
 
20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg
D3 Consutling
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
B.A.
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
Axon Lawyers
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
Sofie van der Meulen
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatie
Copernica BV
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijk
Jorgen Holzmann
 
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzichtToepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
No van Rens
 
Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbp
Rob van Hees
 
Landsverordening bescherming persoonsgegevens
Landsverordening bescherming persoonsgegevensLandsverordening bescherming persoonsgegevens
Landsverordening bescherming persoonsgegevens
pearl studio
 
Privacy Impact Assessment workshop
Privacy Impact Assessment workshopPrivacy Impact Assessment workshop
Privacy Impact Assessment workshop
Henk Fernald
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 
Nederland ict def
Nederland ict defNederland ict def
Nederland ict def
schermerbw
 
EL MULTIMETRO
EL MULTIMETROEL MULTIMETRO
EL MULTIMETRO
Torimat Cordova
 
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD
 
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
Expertisecentrum Veilige Publieke Taak
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacy
Fruytier Lawyers in Business
 
5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie
De Eerstelijns
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
Axon Lawyers
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Flevum
 
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A SmildeRechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
KNMG Limburg
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017
HOlink
 

Weitere ähnliche Inhalte

Was ist angesagt?

20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg
D3 Consutling
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
Axon Lawyers
 
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzichtToepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
No van Rens
 

Was ist angesagt? (8)

Healthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
Healthcare Conference 2013 : Het Federale eHealthplatform - Frank RobbenHealthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
Healthcare Conference 2013 : Het Federale eHealthplatform - Frank Robben
 
20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg20130430 juridische aspecten van ict in de zorg
20130430 juridische aspecten van ict in de zorg
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
 
Privacy in de gezondheidszorg
Privacy in de gezondheidszorg Privacy in de gezondheidszorg
Privacy in de gezondheidszorg
 
Nieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatieNieuwe Europese privacyregulatie
Nieuwe Europese privacyregulatie
 
Avg in de praktijk
Avg in de praktijkAvg in de praktijk
Avg in de praktijk
 
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzichtToepasselijke wetgeving Overdracht medische dossiers- overzicht
Toepasselijke wetgeving Overdracht medische dossiers- overzicht
 

Andere mochten auch

Privacy Impact Assessment workshop
Privacy Impact Assessment workshopPrivacy Impact Assessment workshop
Privacy Impact Assessment workshop
Henk Fernald
 

Andere mochten auch (6)

Factsheet wbp
Factsheet wbpFactsheet wbp
Factsheet wbp
 
Landsverordening bescherming persoonsgegevens
Landsverordening bescherming persoonsgegevensLandsverordening bescherming persoonsgegevens
Landsverordening bescherming persoonsgegevens
 
Privacy Impact Assessment workshop
Privacy Impact Assessment workshopPrivacy Impact Assessment workshop
Privacy Impact Assessment workshop
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
Nederland ict def
Nederland ict defNederland ict def
Nederland ict def
 
EL MULTIMETRO
EL MULTIMETROEL MULTIMETRO
EL MULTIMETRO
 

Ähnlich wie Workshop "Privacy en ICT in de zorg"

AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD
 
5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie
De Eerstelijns
 
PGD - initiatieven in Australië en andere landen - Hans ter Brake
PGD - initiatieven in Australië en andere landen - Hans ter BrakePGD - initiatieven in Australië en andere landen - Hans ter Brake
PGD - initiatieven in Australië en andere landen - Hans ter Brake
Hans ter Brake
 
Patiëntveiligheid en het epd versie 2010-06
Patiëntveiligheid en het epd versie 2010-06Patiëntveiligheid en het epd versie 2010-06
Patiëntveiligheid en het epd versie 2010-06
Wil Coenen
 

Ähnlich wie Workshop "Privacy en ICT in de zorg" (20)

AKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloerAKD Arbeidsrechtseminar Privacy op de werkvloer
AKD Arbeidsrechtseminar Privacy op de werkvloer
 
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
Privacy in de keten - juridisch instrumentarium voor gegevensuitwisseling in ...
 
Big data en privacy
Big data en privacyBig data en privacy
Big data en privacy
 
5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie5. judith van der meer grenzen aan transparantie
5. judith van der meer grenzen aan transparantie
 
Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health Zorg2025 Big Data for Personal Health
Zorg2025 Big Data for Personal Health
 
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
Zorg | 141217 | Nieuwe Europese privacyregels in aantocht | presentatie | Eli...
 
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A SmildeRechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
Rechtspraak op reis: wat zijn uw rechten en plichten als arts? - A Smilde
 
De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017De Algemene Verordeing Gegevensbescherming - HO-link 2017
De Algemene Verordeing Gegevensbescherming - HO-link 2017
 
20100315 Visie van de NPCF op de nieuwe norm voor logging
20100315 Visie van de NPCF op de nieuwe norm voor logging20100315 Visie van de NPCF op de nieuwe norm voor logging
20100315 Visie van de NPCF op de nieuwe norm voor logging
 
PGD - initiatieven in Australië en andere landen - Hans ter Brake
PGD - initiatieven in Australië en andere landen - Hans ter BrakePGD - initiatieven in Australië en andere landen - Hans ter Brake
PGD - initiatieven in Australië en andere landen - Hans ter Brake
 
PGD Innovatiedag Zorgvisie - Hans ter Brake
PGD Innovatiedag Zorgvisie - Hans ter BrakePGD Innovatiedag Zorgvisie - Hans ter Brake
PGD Innovatiedag Zorgvisie - Hans ter Brake
 
ASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plintASMC 2018 Sessie 1.5 Privacy onder de plint
ASMC 2018 Sessie 1.5 Privacy onder de plint
 
Mini symposium egpo maart 2017
Mini symposium egpo maart 2017Mini symposium egpo maart 2017
Mini symposium egpo maart 2017
 
Mini-symposium dementie privacy veiligheid eGPO
Mini-symposium dementie privacy veiligheid eGPOMini-symposium dementie privacy veiligheid eGPO
Mini-symposium dementie privacy veiligheid eGPO
 
Hervorming terugbetalingsprocedre medische kosten
Hervorming terugbetalingsprocedre medische kostenHervorming terugbetalingsprocedre medische kosten
Hervorming terugbetalingsprocedre medische kosten
 
Digitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboeteDigitale privacy: zo voorkomt u een miljoenenboete
Digitale privacy: zo voorkomt u een miljoenenboete
 
Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
 
Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari Masterclass Privacy en Data Science donderdag 12 januari
Masterclass Privacy en Data Science donderdag 12 januari
 
Patiëntveiligheid en het epd versie 2010-06
Patiëntveiligheid en het epd versie 2010-06Patiëntveiligheid en het epd versie 2010-06
Patiëntveiligheid en het epd versie 2010-06
 
computable
computablecomputable
computable
 

Mehr von Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen

Seminar Actualiteiten privacyrecht 25 november 2014
Seminar Actualiteiten privacyrecht 25 november 2014Seminar Actualiteiten privacyrecht 25 november 2014
Seminar Actualiteiten privacyrecht 25 november 2014
Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 

Mehr von Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen (14)

Presentatie actualiteiten privacyrecht 2015 10 november 2015
Presentatie actualiteiten privacyrecht 2015 10 november 2015Presentatie actualiteiten privacyrecht 2015 10 november 2015
Presentatie actualiteiten privacyrecht 2015 10 november 2015
 
Slides presentation RU schrems mr. drs. Mark jansen Dirkzwager advocaten & ...
Slides presentation RU schrems mr. drs. Mark jansen Dirkzwager advocaten & ...Slides presentation RU schrems mr. drs. Mark jansen Dirkzwager advocaten & ...
Slides presentation RU schrems mr. drs. Mark jansen Dirkzwager advocaten & ...
 
Seminar Actualiteiten privacyrecht 25 november 2014
Seminar Actualiteiten privacyrecht 25 november 2014Seminar Actualiteiten privacyrecht 25 november 2014
Seminar Actualiteiten privacyrecht 25 november 2014
 
De nieuwe e-commerce regels - presentatie mr. drs. C.L.A. van der Veeken - we...
De nieuwe e-commerce regels - presentatie mr. drs. C.L.A. van der Veeken - we...De nieuwe e-commerce regels - presentatie mr. drs. C.L.A. van der Veeken - we...
De nieuwe e-commerce regels - presentatie mr. drs. C.L.A. van der Veeken - we...
 
Presentatie E-commerce Dirkzwager advocaten & notarissen 29 september 2011
Presentatie E-commerce Dirkzwager advocaten & notarissen 29 september 2011Presentatie E-commerce Dirkzwager advocaten & notarissen 29 september 2011
Presentatie E-commerce Dirkzwager advocaten & notarissen 29 september 2011
 
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
 
Auteursrecht en IT - Gastcollege RU
Auteursrecht en IT - Gastcollege RU Auteursrecht en IT - Gastcollege RU
Auteursrecht en IT - Gastcollege RU
 
Workshop ict contracten in de zorg 10 11 10
Workshop ict contracten in de zorg 10 11 10Workshop ict contracten in de zorg 10 11 10
Workshop ict contracten in de zorg 10 11 10
 
Workshop inkoop IT-systemen door overheden
Workshop inkoop IT-systemen door overhedenWorkshop inkoop IT-systemen door overheden
Workshop inkoop IT-systemen door overheden
 
Webwinkels booming business
Webwinkels booming businessWebwinkels booming business
Webwinkels booming business
 
Presentatie workshop inkoop ICT door overheden Dirkzwager advocaten & notaris...
Presentatie workshop inkoop ICT door overheden Dirkzwager advocaten & notaris...Presentatie workshop inkoop ICT door overheden Dirkzwager advocaten & notaris...
Presentatie workshop inkoop ICT door overheden Dirkzwager advocaten & notaris...
 
Merkenrecht Workshop Dirkzwager & TCC 24 maart 2010
Merkenrecht Workshop Dirkzwager & TCC 24 maart 2010Merkenrecht Workshop Dirkzwager & TCC 24 maart 2010
Merkenrecht Workshop Dirkzwager & TCC 24 maart 2010
 
Presentatie wet- en regeldag Kamer van Koophandel 1 december 2009
Presentatie wet- en regeldag Kamer van Koophandel 1 december 2009Presentatie wet- en regeldag Kamer van Koophandel 1 december 2009
Presentatie wet- en regeldag Kamer van Koophandel 1 december 2009
 
Presentatie ondernemen op Internet
Presentatie ondernemen op InternetPresentatie ondernemen op Internet
Presentatie ondernemen op Internet
 

Workshop "Privacy en ICT in de zorg"

  • 1. Privacy en ICT in de zorg Jaap Kronenberg Mark Jansen Arnhem, 25 juni 2009
  • 2. Verantwoording In deze presentatie wordt algemene en beknopte informatie verstrekt over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee juridisch advies te geven voor concrete situaties. Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de inhoud ervan. © Dirkzwager advocaten & notarissen N.V. 2009. Alle rechten voorbehouden.
  • 3. NOS Journaal 20.00 uur 2 april 2009
  • 4. Wet Bescherming Persoonsgegevens (WBP-1) • Doel: • bescherming persoonlijke levenssfeer in digitale omgeving • Uitgangspunt: • verwerking persoonsgegevens mag niet, tenzij… • Persoonsgegevens: • gegevens herleidbaar tot natuurlijk persoon • Verwerking: • alle handelingen (ruim begrip)
  • 5. WBP-2 • Verwerking mag alleen voor: • duidelijk omschreven en bepaald doel • dat kenbaar is en • gerechtvaardigd is. • Gerechtvaardigde verwerking is: • ondubbelzinnige toestemming; • uitvoering overeenkomst; • noodzakelijk voor nakoming wettelijke verplichting • noodzakelijk voor publieke taak
  • 6. WBP-3 • Toestemming • Ondubbelzinnig, twijfel uitgesloten • Bewijslast bij verantwoordelijke verwerking • Minderjarigen < 16, toestemming ouder • ieder moment worden ingetrokken, 5.2 WBP
  • 7. WBP-4 • Verantwoordelijke: • Die doel en middelen van de verwerking bepaalt • Patiëntendossier van ziekenhuis ? • ICT-praktijksysteem van apotheker ? • Bewerker: • die voor verantwoordelijke gegevens verwerkt, zonder aan zijn gezag te zijn onderworpen • ICT systeem verpleeghuis “patiënten-planner” op externe server IT-bedrijf? • Verantwoordelijke blijft verantwoordelijk WBP • Overeenkomst verantwoordelijke-bewerker
  • 8. WBP-5 • Bijzondere persoonsgegevens: • Ras, godsdienst, gezondheid, politieke gezindheid, sexuele leven, lidmaatschap vakbond, e.d. • Verbod verwerking bijzondere persoonsgegevens, tenzij wet toestaat (16 WBP) • Artikelen 17 t/m 23 WBP
  • 9. Verwerking gegevens gezondheid • Verwerking gegevens gezondheid mag alleen door (21-1 WBP): • a. hulpverleners, instellingen gezondheidszorg of maatsch. dienstverlening; • b. verzekeraars; • c. scholen; • d. reclasseringsinstelling, de raad voor de kinderbescherming; • e. Justitie; • f. bestuursorganen, pensioenfondsen, werkgevers;
  • 10. Verwerking gegevens gezondheid • Noodzakelijkheidseis (21-1 WBP): • Gezondheidsgegevens mogen alleen worden verwerkt: voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is; • Beheer: • kwaliteitsborging, intercollegiaal, financieel
  • 11. Verwerking gegevens gezondheid • Geheimhoudingsplicht (21-2 WBP) : • en mits door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. • Wet BIG: artsen, tandartsen, apothekers, verpleegkundigen, etc.; • Beroepsregels: bijv: maatschappelijk werkers • Overeenkomst: medewerkers zorginstellingen of externen
  • 12. WBP-9 • Overige eisen WBP onverminderd van kracht • Dus 2 stappen toets: • toets artikel 21 WBP • toets overige eisen WBP zoals gerechtvaardigde grondslag (uitv. overeenkomst, toestemming, wettelijk voorschrift) • WGBO vult geheimhoudingsplicht in zorg nader in
  • 13. WGBO • WGBO, doel: • versterking positie patiënt in kader behandelingsovk. met hulpverlener (indiv./instelling): BW 7:446 e.v. • Dossierplicht (7:454 BW): • patiëntendossier • Geheimhoudingsplicht (7:457 BW): • verstrekking/inzage/ afschrift van gegevens patiëntendossier niet aan anderen dan patiënt, tenzij • aan rechtstreeks bij behandeling betrokkenen/verv. • toestemming patiënt • wettelijke plicht
  • 14. Geheimhoudingsplicht-1 • Verstrekking aan rechtstreeks betrokkenen uitvoering behandeling (7:457-2 BW): • assistenten • geconsulteerde collega’s • administratie medewerkers (extern bureau, mits bewerker ogv WBP) • Verstrekking aan vervangers • mits en voor zover verstrekking aan hen noodzakelijk voor hun werkzaamheden in kader behandeling (noodzakelijkheidseis)
  • 15. Geheimhoudingsplicht-2 • Toestemming patiënt (7:457-1 BW) • Uitdrukkelijke toestemming (23-1(a) WBP) • expliciete wilsuiting vereist • ≠ stilzwijgende/impliciete toestemming • Voorbeelden: • >opvolgend behandelaar • bedrijfsarts>werkgever • transmurale zorgteams
  • 16. Geheimhoudingsplicht-3 • -vervolg- toestemming patiënt • Veronderstelde toestemming bij verstrekking aan: • rechtsreeks bij behandeling betrokkenen • vervanger van behandelaar • Toestemming kan worden ingetrokken • voor bepaalde hulpverleners of gegevens • dus: in ICT autorisatie op niveau gegevens en indiv. hulpverleners • Zonder informatie vooraf géén toestemming
  • 17. Informatieplicht-1 • 33-34 WBP: • Verantwoordelijke moet informeren over: • identiteit verantwoordelijke • doeleinden verwerkingen • andere vereiste info voor zorgvuldige verwerking • WGBO: • Hulpverlener moet informeren over: • aard/doel behandeling (7:448 BW) • Geen andere expliciete informatieplicht • Impliciet wel: verstrekking gegevens gezondheid aan anderen dan patiënt, waarvoor toestemming is vereist • uitdrukkelijke en veronderstelde toestemming
  • 18. Informatieplicht-2 • Praktische tips (voorzover mogelijk): • patiënt vooraf informeren via brochure • transparantie loont • toestemming op schrift via formulier • ICT inrichten op mogelijkheid van bezwaar en intrekking toestemming
  • 20. Pauze
  • 21. Gegevensbeveiliging • Recente handhaving CBP vier ziekenhuizen • Juridisch kader rondom informatiebeveiliging • Meer specifiek: autorisaties
  • 24. Handhaving CBP ziekenhuizen • 2007: onderzoek IGZ CBP informatiebeveiliging twintig ziekenhuizen • Allemaal onvoldoende • Plan van aanpak voor 15-10-2008
  • 25. Handhaving CBP ziekenhuizen • 8 juni 2009: • brief CBP aan vijf ziekenhuizen dd. 2 juni; • persbericht met toelichting op deze brieven. • Een ziekenhuis geen maatregel. • Voldeed al bijna aan norm. • Dwangsommen vier ziekenhuizen: • € 1.000,- of € 2.000,- per dag per overtreding; • Max. € 30.000,- of € 60.000,- per overtreding.
  • 27. Beveiligingseisen artikel 13 WBP • Beveiliging tegen • verlies en/of • enige vorm van onrechtmatige verwerking alsmede • onnodige verzameling en/of • verdere verwerking van persoonsgegevens • Beveiligingsmaatregelen • technisch • wachtwoorden, smartcards, back-ups, versleuteling, logfiles, virusbeveiliging, etc. • organisatorisch • afgesloten ruimtes, screening personeel, brandbeveiliging, clean desk policy, etc.
  • 28. Beveiligingseisen artikel 13 WBP • Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van maatregelen en procedures • Administratieve organisatie • Beveiligingsbewustzijn • Eisen te stellen aan personeel • Inrichting van de werkplek • Beheer en classificatie van de ICT infrastructuur • Toegangsbeheer en -controle
  • 29. Beveiligingseisen artikel 13 WBP • Netwerken en externe verbindingen • Gebruik van software van derden • Bulkverwerking van persoonsgegevens • Bewaren van persoonsgegevens • Vernietiging van persoonsgegevens • Calamiteitenplan • Uitbesteden van en overeenkomsten voor de verwerking van persoonsgegevens
  • 30. Beveiligingseisen artikel 13 WBP • “Passend niveau” • de stand van de techniek • de kosten van de tenuitvoerlegging • gelet op • de risico's die de verwerking • de aard van te beschermen gegevens • “Een eenvoudig of vrij goedkoop te nemen beveiligingsmaatregel moet genomen worden”
  • 31. Beveiligingseisen artikel 13 WBP • Algemene nadere uitwerking: • Rapport “Beveiliging van persoonsgegevens” (2001) van het CBP • Gratis te lezen op http://www.cbpweb.nl • Uitwerking specifiek voor de zorg: • NEN-normen 7510-7512 • Te bestellen via http://www.nen7510.org/ of http://www.nen.nl/ tegen betaling van € 43,- per norm
  • 32. Beveiligingseisen artikel 13 WBP • CBP toetst aan NEN-norm 7510 • Nadere uitwerking • NEN 7511-1 • Toetsbaar voorschrift complexe organisaties • NEN 7511-2 • Toetsbaar voorschrift samenwerkingsverbanden • NEN 7511-3 • Toetsbaar voorschrift solopraktijken • NEN 7512 • Vertrouwensbasis voor gegevensuitwisseling
  • 33. NEN 7510, 7511 en 7512 Algemene kader NEN 7510 plus… Met directie Zonder directie Met eigenstandige Complexe organisaties Samenwerkingsverband informatievoorziening (NEN 7511-1) (NEN 7511-2) Zonder eigenstandige Samenwerkingsverband Solopraktijk informatievoorziening (NEN 7511-2) (NEN 7511-3) …plus aanvullingen NEN 7512 voor gegevensuitwisseling
  • 34. Autorisaties Wie mag er bij welke gegevens?
  • 35. Juridisch kader autorisaties • Wet bescherming persoonsgegevens • Wet geneeskundige behandelingsovereenkomst • Wet op de beroepen in de individuele gezondheidszorg • Wetboek van Strafrecht
  • 36. Spanningsveld hulpverleners Dossierplicht Geheimhoudings Zorgplicht plicht •Artikel 7:454 BW •Artikel 88 Wet BIG •Goed •Wet gebruik BSN in •Artikel 272 Wetboek opdrachtnemerschap de zorg (EPD) van Strafrecht kan inschakeling •Artikel 7:457 BW derden vereisen (7:401 BW)
  • 37. Spanningsveld automatisering Voordelen koppeling Nadelen koppeling gegevens gegevens •Eenvoudige invoer •Privacybezwaren •Verbanden leggen om zo •Intrekken toestemming patiënt behandeling patiënt te •Meer gegevens, strengere verbeteren beveiliging •Vereenvoudigt programmeerwerk •Vereenvoudigt beheer
  • 38. Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • godsdienst of levensovertuiging; • ras; • politieke gezindheid; • gezondheid; • seksuele leven; • lidmaatschap van een vakvereniging.
  • 39. Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • gezondheid; • Memorie van Toelichting: • “Het enkele gegeven dat iemand ziek is, is een gezondheidsgegeven” • “Het begrip «gezondheid» moet niettemin ruim worden opgevat; het omvat (…) alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.”
  • 40. Wie mag er bij het dossier? • Artikel 21 WBP: beperkte uitzondering • Mits beroepsgeheim • Noodzakelijkheidcriterium • Artikel 23 WBP: uitdrukkelijke toestemming betrokkene
  • 41. Wie mag er bij het dossier? • Let op met ASP / SAAS software • Softwaredienstverlener onder omstandigheden zelf als verantwoordelijke aan te merken • Deze valt echter niet onder uitzondering artikel 21 WBP! • Terugvallen op uitdrukkelijke toestemming artikel 23 WBP
  • 42. Wie mag er bij het dossier? • Zorginstelling mag onder voorwaarden bijzondere persoonsgegevens verwerken (WBP) • Individuele hulpverlener mag gegevens niet aan derden verstrekken (WGBO / Wet BIG) • Uitgezonderd zijn de rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken derden (WGBO) • Die uitzondering is een wettelijk vermoeden van toestemming van de patiënt
  • 43. Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere •Rechtstreeks hulpverleners betrokken •Noodzakelijk Administratie •Rechtstreeks betrokken •Noodzakelijk •Geheimhouding •Bewerker
  • 44. Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere Alleen voor hulpverleners zover rechtstreeks betrokken bij uitvoering behandelingsove reenkomst Administratie Alleen voor zover nodig voor administratie en mits aan geheimhouding gebonden Toestemming kan altijd worden ingetrokken!
  • 45. Wie mag er bij het dossier?
  • 46. Wie mag er bij het dossier? • Individuele autorisaties • Groepsaccounts uit den boze • Gegevens classificeren • Autorisatie daarop afstemmen • Omzeilen in noodsituaties mogelijk • Mits beleid hiervoor • Mits gelogd • Veilige wachtwoorden • Alles loggen • Systeemklokken moeten juiste tijd aangeven
  • 47. Selectie te nemen maatregelen • Geen info autorisatieniveau in gebruikersnaam • Dus niet: arts104 of secretaresse105 • Bestrijd verborgen communicatiekanalen • USB-poort, webmail, web 2.0 diensten • Kritische apparatuur achter slot en grendel • Bescherming kabels afluisteren en beschadiging • Periodieke controle toegangsrechten
  • 48. Een scenario uit NEN 7512 • Scenario: huisarts informeert patiënt over uitslag • Authenticatieniveau patiënt: matig • Veilig wachtwoord, altijd versleuteld verzonden • Biometrie • Fysiek authenticatiemiddel • Digitale certificaten, mits 2e authenticatiefactor • Versleutelde verbinding • Dus normale e-mail uitgesloten! • Elektronische handtekening zorgverlener • Vereist sterk authenticatieniveau • Biometrie met 2e authenticatiefactor • Certificaat op smartcard met veilig wachtwoord of biometrie
  • 49. Nog vragen? • Jaap Kronenberg 026 – 353 83 77 kronenberg@dirkzwager.nl • Mark Jansen 026 – 353 83 23 m.jansen@dirkzwager.nl Borrel