Parelsnoer data en privacy aspecten Erik Flikkenschild, PSI Centraal Team (ICT) NFU-SIG-IB, 3-2-2015 Improving health by sharing science
Agenda 1. 2. 3. 4.
Security domeinen Parelsnoer (PSI) biobank Gezamenlijke (NFU) aanpak EPV Samenwerking met Surf en Data4Lifesciences
Improving health by sharing science
Sercurity domeinen Primary Health registration
Radiology
Secundary use
Quality
Questionaire
Pathology
EPD
Biobanking
laboratories
Research DB Etc. Improving health by sharing science
Historie en strategische koers PSI als onderdeel nationale hub PSI als UMC organisatie
PSI als project • ontwikkeling centrale en lokale infrastructuur • opbouw parelverzamelingen
• implementatie centrale en lokale infrastructuur binnen de UMC's • coördinatie UMCgebonden data- en biobanken
• samenwerking met BBMRI-NL • coördinatie Nederlandse klinische data- en biobanken • PSI werkwijzen nationale standaard
• PSI werkwijzen de UMC standaard
Improving health by sharing science
Parelsnoer Institute (PSI) research question driven approach UMC domain Web form
PSI domain PIM data model
Programm & Control Manual input
i n p u t
SOP
Special TTP
Basis EHR
SPSS
Lab
Biobank Image
(8) UMC Collection databases
Quality reporting
Central database
Imaging (IAC) Improving health by sharing science
Methodiek implementatie EPV Privacy & Security by Design & Default Bron: Thijs Kliphuis (Vumc)
Improving health by sharing science
Referentiekader • Kaderreglement • Security • Privacy
Improving health by sharing science
Implementatie EPV door de UMC’s
1.
UMC’s voeren standaard PIA’s in combinatie met risicoanalyses (BIA’s) uit voorafgaand aan de ontwikkeling / aanschaf / ingebruikname van nieuwe persoonsregistraties 2. Beschrijvingen beschikbaar op functietype • FG-functie • ISO-functie • combi-functie FG/ISO (senior / medior / junior) 3. Tooling beschikbaar voor meldingen verwerkingen
Improving health by sharing science
Business Case EPV Een groot deel van hetgeen in de EPV vastgelegd wordt is niet nieuw, want ook al opgenomen in de Wbp. De EPV scherpt de verplichtingen aan, onder meer om aantoonbaar een adequate bescherming van persoonsgegevens te hebben gerealiseerd.
Een en ander wordt vergezeld van een stevig boete-regime.
Stakeholders: • Onderzoekers • CBP (reviewer) • Functionaris gegevensbeschermer • ICT / Security Officer • Cliëntenraden • Juristen • Veiligheidsfunctionarissen • Biobanken
Improving health by sharing science
Implementatie EPV door de acht UMC’s
Lopende onderdelen in het werkplan: • Regie & Coördinatie • Voorlichting & Presentaties • Werkwijze meldplicht datalekken (prio Wbp) • Implementatie behandelcriterium (prio CBP) • Vereenvoudigen vragenlijsten • Tooling voor het melden van verwerkingen • Werkwijze uitvoeren PIA (privacy impact assessment) • Generieke functiebeschrijvingen • Informeren toezichthouders over aanpak
10
Improving health by sharing science
Implementatie AVG door de UMC’s Verkenning 2013 : het kan en moet beter art.nr 77 32 33 77 28 23 17 14 18 37 26 19 15 16 36 5 35 7 6 11 81 5 30
Hoofdstuk Aansprakelijkheid van de verantwoordelijke Meldplicht datalekken betrokkenen (art. 32 EPV) Privacyeffectbeoordeling (PIA) (art. 33 EPV) Doorwerking in contracten met derden Documentatieplicht (art. 28 EPV) Privacy by design & default (art. 23 EPV) Recht om vergeten te worden en om gegevens te laten wissen (art. 17 EPV) Informatieplicht (art. 14 EPV) Recht van gegevensoverdraagbaarheid (art. 18 EPV) Taken functionaris gegevensbescherming (art. 37 EPV) Doorwerking in contracten met verwerker (gedefinieerd als: ……………………..) Recht van bezwaar (art. 19 EPV) Recht van toegang (art. 15 EPV) (= recht op inzage Wbp) Recht van rectificatie (art. 16 EPV) Positie en bevoegdheden functionaris gegevensbescherming (art. 36 EPV) Bewaarplicht (art. 5 EPV) Aanwijzing functionaris gegevensbescherming (art. 35 EPV) Voorwaarden toestemming (art. 7 EPV) Rechtmatigheidsgrondslagen (art. 6 EPV) Privacy beleid (art. 11 EPV) Verwerking persoonsgegevens over de gezondheid (art. 81 EPV) Beginselen (art. 5 EPV) Beveiliging (art. 30 EPV)
Toelichting zwaarwegend zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zeer zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zwaarwegend zeer zwaarwegend zwaarwegend zeer zwaarwegend zwaarwegend zwaarwegend zwaarwegend zeer zwaarwegend zeer zwaarwegend
11
UMC's 0% 14% 17% 23% 25% 26% 26% 28% 29% 30% 31% 33% 40% 47% 49% 55% 57% 59% 64% 70% 71% 74% 86%
Improving health by sharing science
Implementatie EPV door de UMC’s Melden datalekken (Wbp) Stand van zaken Algemene procedure datalekken voor de UMC’s opgesteld. Deze moet elk UMC uitwerken/aanpassen naar de ‘eigen’, reeds bestaande werkwijze en organisatie. - Bijbehorende beslisboom wel/niet melden aan CBP en betrokkene(n) in opzet beschikbaar
Beoogd resultaat - Procedure voorzien van (voorbeeld) casuïstieken - implementatie van de procedure in de UMC’s
12
Improving health by sharing science
Improving health by sharing science
Implementatie AVG door de UMC’s
Evaluatie stand van zaken (begin2015) • Europese besluitvorming loopt uit; deadline schuift op • Nederlandse wetgever versnelt op belangrijke onderdelen • Sancties straks tot € 800.000 • Verantwoordelijke straks aansprakelijk volgens bestuursrecht •Niet alle UMC’s voldoende capaciteit en inzet • V.w.b. gezamenlijke activiteiten niet voldoende tempo •Gegevensuitwisseling rond de zorg een snel groter wordend issue Opzet en aanpak moet bijgesteld
14
Improving health by sharing science
Inhoudelijk Doeleinden voor verwerking: -gegevensverstrekking (incl. transborder data flow etc.), -(duurzame) opslag, -kwaliteit van gegevens -bewaartermijnen en vernietigingstermijnen (incl. digitale duurzaamheid), -documentatie, -beveiliging, -versleuteling, -rol van 'trusted third parties', -rechten van betrokkene, -wetenschappelijke output beschikbaar te maken in verband met privacy (open data), -samenwerken/ afhankelijkheid met bedrijfsleven, -delen van gegevens, anonimiseren en pseudonimiseren, -big data en hoe de privacy hierbij te verzekeren.
Improving health by sharing science
Implementatie EPV door de UMC’s Plan van aanpak: opzet en fasering
Gezamenlijk regie & voorbereiding <-> apart implementeren eigen UMC 1. 2. 3. 4. 5. 6.
Initiatief: Verkennen draagvlak NFU (afgerond) Verkenning: Rapportage (afgerond) Voorbereiding: Instrumentarium; Uitvoering I: Aantoonbaar Wbp-auditproof (incl. datalekken, toegang op basis behandelrelatie, toestemming voor uitwisseling) Uitvoering II: Aanvulling en verdieping t.b.v. de EPV Validatie en consolidatie: aantoonbaar EPV-auditproof
16
Improving health by sharing science
Bijstelling implementatie AVG door de UMC’s
Nieuwe planning • Nieuwe aanpak bespreken bij S&F en SIG-IB/PB • 1 Maart in elk UMC starten met voorbereiding • 1e Werkconferentie: eind maart uitwisselen uitgangsposities • April-mei-juni: realisatie alle vijf onderwerpen in elk UMC • tempo afhankelijk van lokale omstandigheden • koplopers naast volgers; • waar mogelijk kijken bij de buren • bij uitwisseling inspelen op concrete casussen (b.v. DICA als pilot) • 2e werkconferentie: uitwisselen resultaten en best practises • Afronden uitvoering (lokale verbetering; puntjes op de “i”) • Eind juli: vijf onderwerpen geïmplementeerd in alle UMC’s • September: evaluatie proces en resultaten (regiegroep met FG’s) en nieuwe planning voor de resterende onderwerpen.
17
Improving health by sharing science
EPV Relatie met projectgroep vanuit het Hoger Onderwijs (SURF) Aparte EPV werkgroepen die samenwerken 1. 2.
3.
4.
Verwerken van persoonsgegevens NFU specifiek bij UMC’s wordt veelal onderzoek gedaan in een medische setting, hetgeen een extra gevoeligheid met zich meebrengt (bijzondere gegevens volgens de Wbp, Wgbo van toepassing) binnen UMC’s wordt meer onderzoek gedaan met lichaamsmateriaal en daardoor is ook medisch-ethische wet- en regelgeving van toepassing (Wmo, gedragscodes GG, bij SURF meer nadruk op onderwijs/ praktijk en onderzoek
Improving health by sharing science
NFU Data4LifeSciences Outline NFU Program ‘Data4LifeSciences’ : Dean approved Authors: Jan Willem Boiten Erik Flikkenschild Rob Hooft Marc Rietveld Morris Swertz
Version 0.7 September 30, 2014 Improving health by sharing science
NFU Data4LifeSciences projecten 6. Content and organization of work packages (plateau 1) 6.1. Work package 1: 6.2. Work package 2: 6.3. Work package 3: 6.4. Work package 4: 6.5. Work package 5: 6.6. Work package 6: 6.7. Work package 7: 6.8. Work package 8: 6.9. Work package 9: 6.10. Work package 10: 6.11. Work package 11:
Harmonize data stewardship guidelines Harmonize research IT foundations (architecture) Discovery and access to data and samples (catalogues) Biomedical data sharing & analysis Using electronic health records for research Good Research Practice Facilities for high-throughput data processing Coordination of requests (The Hague and Brussels ) Coordinate access to experts and support Public relations and communications Towards clear governance model
Improving health by sharing science
Questions & answers
[email protected] Improving health by sharing science