zorg | 141217 | nieuwe europese privacyregels in aantocht | presentatie | eline schiebroek &...
TRANSCRIPT
1
Veel instellingen zijn nog onvoldoende bewust van de regelgeving mbt bescherming
persoonsgegevens. Zie incidenten uit het recente verleden.
Maar niet alleen moeten de regels bekend zijn, er moet in alle lagen van een instelling
‘awareness’ zijn welke handelingen wel en niet een (mogelijke) schending van de privacy
zijn. Zeker nu het toekomstige regime een toename van de administratieve last en een
dreiging met ingrijpende sancties zal bewerkstelliigen
2
Geen uitputtende bespreking van AVG, focus op enkele relevante onderwerpen
3
Administratieve last: geen melding meer, maar wel verplichting tot documentatie in eigen
beheer. Doorlopende verplichting (regelmatig updaten).
Toename van de administratieve last.
Omschrijving van:
• de vormen van verwerking
• het doel van de verwerking,
• de categorieën van betrokkenen
• welke persoonsgegevens worden verwerkt
Hoe moet dit in de praktijk worden vormgegeven? Zienswijze Cbp is nog niet duidelijk
4
PIA verplicht o.a. bij verwerking bijzondere persoonsgegevens
PIA moet ervoor zorgen dat instellingen gaan nadenken over de gevolgen van het
verwerken van persoonsgegevens. Deze assessment is niet een eenmalige
gebeurtenis. De assessment zal periodiek moeten worden herhaald, worden
bijgewerkt etc.
Wat voor soort risico’s: bijvoorbeeld discriminatie, persoonlijke levenssfeer.
Follow-up o.a. door implementatie beveiligingsmaatregelen (art 30)
5
Melding vlgs AVG :
• Aard van het lek
• Categorieën en aantallen betrokkenen
• Identiteit en contactgegevens Functionaris Gegevensbescherming
• Beschrijving maatregelen om gevolgen te mitigeren
• Beschrijving gevolgen
Wetsvoorstel ligt op dit moment nog bij de Tweede Kamer.
NL wetsvoorstel is erg onduidelijk, wanneer sprake van ‘ernstige nadelige gevolgen’? En
hoe verhoudt zich dat met ‘ongunstige gevolgen voor persoonlijke levenssfeer’?
6
NL wetsvoorstel wijkt dus af van Verordening.
7
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (wijziging wet
cliëntenrechten in de zorg). Wetsvoorstel ligt nu bij de Eerste Kamer.
Uitdrukkelijke toestemming: zorgaanbieder moet kunnen aantonen dat er
toestemming is gegeven.
Onderzoek CPB naar LSP: voldoende aangetoond door:
• ondertekend toestemmingsformulier
• Schermprint informatiesysteem zorgverlener
• Aantekening in dossier patiënt met handtekening of paraaf zorgverlener
Specifiek: cliënt moet weten waarvoor hij toestemming geeft. Verplichting tot
(daadwerkelijke) informatieverstrekking (volgt uit Kamerstukken). Zie onderzoek
CPB:
• Welke verwerking
• Welke gegevens?
• Welk doel?
• Aan welke derden verstrekt?
• Wie is verantwoordelijke?
Waarborgen verkrijgen toestemming:
• Software
8
• Afspraken met zorgverlener (+controle naleving)
• informatiemateriaal
Vraag: hoe worden persoonsgegevens van een ander geschaad door medische
informatie van betrokkene? Erfelijke ziektes?
8
9
Informeren niet eenmalig: ook als nieuwe zorgaanbieders aansluiten bij het
elektronisch uitwisselsysteem of de werking van het systeem substantieel wordt
gewijzigd
10
Volgt uit besluit elektronische gegevensuitwisseling tussen zorgaanbieders
11
12