Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze toestemming die informatie te verwerven. bron: artikel 10 van de Nederlandse Grondwet
Privacy is gebaseerd op zeven principes: 1.
Kennisgeving – degene van wie data wordt verzameld dient hiervan op de hoogte te zijn
2.
Doel – de verzamelde gegevens mogen alleen voor het aangegeven doel worden gebruikt
3.
Toestemming – niet verspreiden of openbaar maken zonder toestemming vooraf
4.
Beveiliging - reeds verzamelde gegevens moeten veilig bewaard worden
5.
Openbaarmaking – informeren indien gegevens door derde partijen wordt opgeslagen of bewerkt
6.
Toegang – recht op toegang tot eigen data en correctie daarvan
7.
Verantwoording – de partij die gegevens bewaard mag hiervoor verantwoordelijk worden gehouden
Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!
1
Heb ik voldoende maatregelen getroffen om privacyschending te voorkomen?
2
Ben ik voorbereid op aanstaande wetgeving (inclusief meldplicht datalekken)?
3
Wat moet ik regelen als ik persoonsgegevens laat bewerken door een bewerker?
4
Wat is exact een datalek?
5
Moet ik een datalek altijd melden aan het CBP en/of aan de betrokkene?
6
Wanneer en hoe moet ik het datalek melden aan het CBP en/of betrokkene?
7
Welke gegevens moet ik vastleggen over een datalek?
De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp). De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens (95/46/EG) en is sinds 1 september 2001 van kracht. De Wbp regelt ook de taken en bevoegdheden van het College Bescherming Persoonsgegevens (CBP) als toezichthouder op deze wet en andere wet- en regelgeving voor de verwerking van persoonsgegevens. Veel zorginstellingen zijn al bewust bezig met privacy gezien het belang van patiëntinformatie. Echter is voor veel zorginstellingen nog niet inzichtelijk of zij daadwerkelijk gereed zijn voor de aanstaande wijzigingen in de wetgeving!
De Europese richtlijn bescherming persoonsgegevens (95/46/EG) wordt vervangen door de Algemene Verordening Gegevensbescherming (AVG). De AVG zal gaan gelden voor alle lidstaten van de Europese Unie en naar verwachting in 2018 definitief in werking reden.
EU richtlijn 95/46/EG
AVG
Vooruitlopend op het definitief in werking treden van de AVG worden de volgende maatregelen al op korte termijn ingevoerd: •
een nieuw artikel 34a van de Wet bescherming persoonsgegevens (Wbp); dit artikel bevat een meldplicht bij datalekken (actief per 1 januari 2016);
•
een uitbreiding van de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens (Cbp), waardoor zij in meer gevallen (o.a. als de beveiliging niet deugt) een boete kunnen opleggen aan overtreders van privacyregels (actief per 1 januari 2016);
Wet cliëntenrechten bij elektronische verwerking van gegevens wil zorginstellingen met meer dan 250 werknemers en een aansluiting op een elektronisch uitwisselingssysteem (of EPD) verplichten om een 'functionaris voor de gegevensbescherming‘ (FG) te benoemen.
1
Voldoen aan meldplicht datalekken Per 1 januari 2016 geldt de meldplicht bij geconstateerde inbreuken op beveiligingsmaatregelen voor persoonsgegevens. Het gaat alleen om het melden van inbreuken die 'ernstige' nadelige gevolgen hebben voor de bescherming van de verwerkte persoonsgegevens. Melden kan door middel van een formulier op de website van het CBP uiterlijk de 2e werkdag na het ontdekken van een datalek.
2
Verplichting tot het aanstellen van een Functionaris voor de Gegevensbescherming (FG) Deze verplichting geldt volgens het huidige voorstel voor instellingen met meer dan 250 werknemers die bovendien zijn aangesloten op een elektronisch uitwisselingssysteem. Echter is een FG ook verplicht wanneer “de kernactiviteiten van de verwerker of verantwoordelijke hiervoor bestaan uit de verwerking van bijzondere categorieën gegevens ingevolge artikel 9, lid 1”. Hieronder vallen gezondheidsgegevens waardoor in feite alle zorginstellingen ongeacht het aantal medewerkers verplicht zijn een FG aan te stellen.
3
Algemene documentatieverplichting Dit is de verplichting om alle verwerkingen die onder de verantwoordelijkheid van de instelling vallen te bewaren. Als gevolg hiervan wordt een aantal eisen gesteld aan de gegevens die moeten worden bewaard.
4
Informatieplicht In de nieuwe verordening zal als een plicht worden opgenomen dat degene van wie persoonsgegevens wordt verwerkt geïnformeerd moet worden over onder andere klachtrecht (voor patiënt/cliënt, medewerker en externen), de FG en de bewaartermijn.
5
Rekening houden met rechten van de betrokkenen De betrokkene krijgt een aantal rechten, waaronder het recht op vergetelheid en het recht op gegevensoverdraagbaarheid. Tevens wordt gedacht aan het faciliteren van de mogelijkheid tot het digitaal indienen van dergelijke verzoeken.
6
Uitsluiten gebruik profilering Iedere betrokkene heeft het recht om niet op basis van profilering aan een maatregel te worden onderworpen waaraan voor hem rechtsgevolgen zijn verbonden. Het gaat hier om het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een categorie, zijn/haar gedrag te voorspellen of een beslissing over hem/haar te nemen.
7
Privacy by Design Gegevensminimalisatie en transparantie moet het uitgangspunt zijn bij de ontwikkeling van informatiesystemen die de privacy van mensen (cliënten én medewerkers) beschermen: privacy by default. Het gaat hierbij om de waarborging van de maximale privacy van de betrokkene door middel van systeeminstellingen
8
Maatregelen voor onderzoek en statistiek Enkel anonimisering van gegevens wordt veelal niet meer gezien als een afdoende maatregel. Aanvullende maatregelen kunnen noodzakelijk zijn zoals versleuteling, pseudonimisering, beperking van autorisaties etc.
9
10
Voorkomen van sancties Indien er niet wordt voldaan aan één of meerdere verplichtingen uit de verordening dan kan het CBP afhankelijk van de overtreding boetes uitdelen die kunnen oplopen van 0,5% tot 2% van de totale jaaromzet van een zorginstelling. Hiertoe krijgt het CBP tevens meer opsporings- en vervolgingsbevoegdheid. Het CBP en het hof leggen de lat heel hoog bij anonimisatie van medische gegevens. De Europese wetgeving kent straks een nog strenger boeteregime, waarbij instellingen die hun databeveiliging niet op orde hebben en bij incidenten niet de juiste procedure volgen, tot 10% van hun jaaromzet als boete kunnen ontvangen. Bepalen doelstelling voor gegevensverzameling Nieuw is de bepaling dat het doel van het verzamelen van gegevens welbepaald, expliciet en gerechtvaardigd moet zijn. Dit houdt in: • welbepaald: helder omschreven, daarvoor is een intern assessment noodzakelijk; • expliciet: voldoende gedetailleerd op context en aard van de gegevens; • bij een overkoepelend doel moet elk doel apart benoemd worden in het kader van vaststelling van de compliance; • gerechtvaardigd is van belang dat het in overeenstemming is met ander toepasselijke wet- en regelgeving (grondrecht, jurisprudentie, verordeningen, contractuele afspraken, gedragscodes, et cetera).
Privacy gaat specifiek over persoonsgegevens (Informatie)beveiliging gaat over alle gegevens binnen een zorginstelling Er is echter veel overlap tussen beide onderwerpen en voor de nieuwe wetgeving kan daarom ook worden gesteund op of geïntegreerd worden met bestaand beleid en reeds getroffen maatregelen
Zorg dan ook voor een geïntegreerde aanpak!
INFORMATIE BEVEILIGING
PRIVACY
Privacy
Informatiebeveiliging
Hoe melden? Wanneer melden? Wat melden? Voorbeelden van datalekken zijn: ■ een kwijtgeraakte USB-stick; ■ een gestolen laptop; ■ een inbraak door een hacker; ■ verzending van e-mail waarin de emailadressen van alle geadresseerden zichtbaar zijn voor alle andere geadresseerden; ■ een malware-besmetting; ■ een calamiteit zoals een brand in een datacentrum.
■ Indien persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking én het niet uit te sluiten is dat gegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. ■ Daarnaast moet het aannemelijk zijn dat de aard en omvang van de inbreuk tot (een aanzienlijke kans op) ernstige nadelige gevolgen leidt. ■ Melden uiterlijk op de tweede werkdag na de ontdekking van het incident.
■ Door middel van een webformulier op de site van het CBP. ■ Invoeren van aard van de melding, wettelijk kader, contactgegevens, gegevens over datalek, vervolgacties, inlichten van betrokkenen, technische beschermingsmaatregelen, internationale aspecten, vervolgmelding. ■ Het ligt voor de hand dat de Functionaris voor de Gegevensbescherming (FG) deze melding doet.
Aanwezigheid Functionaris Inzicht in persoonsgegevens
Centraal meldpunt in de zorginstelling
Afspraken met derden
Procedure incidentbeheer
Meldplicht datalekken
Incident management tooling
Privacy beleid
Rapportages
eHerkenning
Inrichten Wij ondersteunen u om de compliance vereisten voor privacy te vertalen naar de situatie die specifiek voor uw instelling van toepassing is. Tevens kunnen wij ondersteunen met het opstellen en inrichten van bijvoorbeeld een privacystrategie, privacybeleid, privacystandaarden en een privacy-architectuur.
Controleren en evalueren Wij ondersteunen u bij het verkrijgen van inzicht in de mate van effectiviteit van de getroffen maatregelen. Dit kan variëren van de uitvoer van een Privacy Impact Assessment (PIA) voor een proces of project tot een organisatiebreed volwassenheidsonderzoek.
Implementeren Wij ondersteunen u met het vertalen van opgesteld beleid naar werkbare procedures en implementatie hiervan in alle onderdelen van de organisatie. Eventueel kunnen wij ook op ad-interim basis de rol van FG vervullen.
Anticiperen op de aanstaande EU-privacywetgeving en de vanaf 1 januari geldende meldplicht datalekken Beperken van risico’s op datalekken en het voorkomen van negatieve impact op imago Zorgvuldig behandelen van persoonsgegevens, omdat cliënten/patiënten, medewerkers en de samenleving hierom vraagt: van compliance naar reputatiefactor Herwinnen van controle over alle (gevoelige) persoonsgegevens in de zorginstelling Verhogen van het bewustzijn van medewerkers over de waarde en gevoeligheid van persoonsgegevens Het voorkomen van hoge boetes
Vergroten van het vertrouwen op het gebied van privacybescherming en hierdoor privacy gebruiken als marketinginstrument
