De Wet bescherming persoonsgegevens

January 13, 2018 | Author: Anonymous | Category: Sociale wetenschappen, Recht, Staatsrecht
Share Embed Donate


Short Description

Download De Wet bescherming persoonsgegevens...

Description

PRIVACY IN DE GEZONDHEIDSZORG

Privacy in de gezondheidszorg 19 maart 2014

Sofie van der Meulen www.axonlawyers.com

Agenda • Privacy • Privacy in Nederland: de Wet bescherming persoonsgegevens in de gezondheidszorg • Big data, apps & privacy • Aankomende wijzigingen vanuit de EU Privacy Verordening • Afsluiting

2

Wat is privacy? • Lichamelijke privacy Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.

• Relationele privacy Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim. • Ruimtelijke privacy Artikel 12 Grondwet: het binnentreden van een woning.

• Informationele privacy Artikel 8 Handvest van de Grondrechten van de Europese Unie: ‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.’

3

Artikel 10 Grondwet 1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

4

Privacy in het middelpunt van de belangstelling • Artikel Guardian over het uploaden patiëntgegevens naar Google • De NSA kijkt met u mee • AIVD deelde data telefoonverkeer met VS

5

Assange & Snowden Edward Snowden lekte in juni 2013 informatie over spionageactiviteiten door de NSA. NSA gebruikt het programma PRISM voor het in de gaten houden van wereldwijde online communicatie. TED talk Edward Snowden: http://goo.gl/Z5gbEZ Julian Assange richtte in 2006 klokkenluiderswebsite WikiLeaks op. Via deze website kunnen officiële documenten gelekt worden.

6

Bradley E. Manning

7

Privacy • Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland geïmplementeerd in: • De Wet bescherming persoonsgegevens (WBP) De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld. • Op Europees niveau wordt nu gewerkt aan een Privacy verordening. 8

Privacy – OECD principles in de Wbp 1. Limitering van het verzamelen van gegevens (niet meer dan nodig). 2. Gegevenskwaliteit gegevens moeten relevant zijn voor het doel (artikel 11 Wbp). 3. Doelbinding. Doel van het verzamelen van gegevens moet vooraf aan verzamelen vastgesteld worden. Tijdens verzamelen mag niet van het doel afgeweken worden (artikel 7 Wbp) 4. Limitering van het gebruik van gegevens (geen gebruik buiten doel, tenzij toestemming van de betrokkene of op andere grond (artikel 8, 9 Wbp) 5. Beveiliging tegen verlies, ongeautoriseerde toegang, vernietiging, wijziging of openbaarmaking (artikel 13 Wbp). 6. Transparantie over gegevensverwerking. 7. Rechten van betrokkenen. 8. Verantwoording (voor compliance met de principles) 9

OECD: Organisation for Economic Cooperation and Development

Wet bescherming persoonsgegevens Centrale begrippen (1) Persoonsgegeven: ‘Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 1, sub a Wbp) 1. Hoe worden gegevens gebruikt? 2. Aard gegevens (kenmerkend?) en mogelijkheden tot identificatie? Pseudonimiseren? Anonimiseren?

Verwerking van persoonsgegevens: ‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)

10

Wet bescherming persoonsgegevens Centrale begrippen (2) Verantwoordelijke: ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 1, sub d Wbp) Bewerker: ‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp) Betrokkene: ‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp) 11

Wet bescherming persoonsgegevens Centrale begrippen (3) Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’ 1. In vrijheid verstrekt? 2. Betrekking op specifieke gegevensverwerking (bepaalbaarheidsvereiste)? 3. Beschikt betrokkene over noodzakelijke informatie om tot oordeel te komen? Ondubbelzinnige toestemming (artikel 8, sub a Wbp) Bewijslast voor verantwoordelijke: 1. Bewijzen dat toestemming is verleend; 2. Waarvoor toestemming is verleend. ! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!

12

Persoonsgegevens betreffende iemands gezondheid Persoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens. Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp. Het verbod is niet van toepassing als de verwerking geschiedt door: • Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en • de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG) • Ondubbelzinnige toestemming is gegeven door de betrokkene. 13

Bewaren van persoonsgegevens Wbp Persoonsgegevens mogen niet langer dan noodzakelijk bewaard worden in een vorm die het mogelijk maakt de betrokkene te identificeren (artikel 10, eerste lid, Wbp). Wet op de geneeskundige behandelingsovereenkomst – WGBO (artikel 7:446 – 7:468 Burgerlijk Wetboek) De hulpverlener moet op grond van artikel 7:454 BW een dossier inrichten met betrekking tot de behandeling van een patient. De bewaarplicht op grond van de WGBO is 15 jaar (artikel 7:454, derde lid BW)

14

Beveiliging Passende technische en organisatorische maatregelen zijn vereist om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp). Beveiliging van bijzondere persoonsgegevens? NEN 7510. Denk ook aan Social Engineering!

15

16

Rechten van de betrokkene • Recht op inzage (artikel 35 Wbp en WGBO)

• Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp). • Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.

17

Verplichtingen voor de verantwoordelijke • Informatieplicht betrokkene (artikel 33 en 34 Wbp)

• Betrokkenen de mogelijkheid geven hun rechten uit te oefenen • Beveiligingsplicht • Meldingsplicht (melden van gegevensverwerking bij het College bescherming persoonsgegevens)

18

College bescherming persoonsgegevens Taken College bescherming persoonsgegevens (CBP)

• Toezicht houden op de naleving van de Wbp • Handhavend optreden door het opleggen van bestuurlijke boetes, dwangsommen of het toepassen van bestuursdwang (artikel 65 e.v. Wbp) • De Algemene wet bestuursrecht (Awb) is van toepassing op handhaving door het CBP. Tegen besluiten staat bezwaar en beroep open bij de bestuursrechter. • Advisering

19

Persoonsgegevens delen met derden • Buiten EU: passend beschermingsniveau vereist (artikel 76 Wbp), bijvoorbeeld EU-US safe harbour framework • Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige toestemming en via een vergunning van de minister van justitie) Safe Harbour - Zelfcertificering door bedrijven. - Heeft alleen betrekking op de overdracht van de EU naar een andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker. - Op grond van artikel 49 Wbp zijn de verantwoordelijke en de bewerker aansprakelijk in geval van non-compliance.

Zie verder: http://europa.eu/rapid/press-release_IP-13-1166_en.htm 20

Big data in de gezondheidszorg • Jaarverslag CBP 2013: http://www.cbpweb.nl/Pages/jv_2013.aspx • EU: https://ec.europa.eu/digital-agenda/en/making-big-data-work-europe • http://europa.eu/rapid/press-release_MEMO-13-965_en.htm

21

Big data in de gezondheidszorg

22

Big data in de gezondheidszorg

23

Big data - uitdagingen • Ondubbelzinnige toestemming vs. Doelbinding • Het recht van de betrokkene om toestemming in te trekken

• Het recht van betrokkene om verwijdering van gegevens te eisen Nieuwe Privacy Verordening http://goo.gl/WDUZ2 • Dezelfde regels in hele EU • Toestemming kan altijd worden ingetrokken, recht om vergeten te worden • Data portability • Beperkingen ten aanzien van ‘profiling’ • Speciale toestemming verwerking genetische data: schriftelijk

12 maart 2014, EP stemt in met voorstel Verordening: http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_140312_en.p df

24

Smart apps • Opinie van de Groep Gegevensbescherming artikel 29 – WP 202 • Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing (artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat) Gegevensverwerking door apps • Ondubbelzinnige toestemming voor verwerking ontbreekt vaak • Gebrek aan transparantie over de verwerking van persoonsgegevens • Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde verwerking) • Maximale gegevensverzameling • Fragmentatie verantwoordelijkheden door groot aantal spelers: App-ontwikkelaars – privacy by design App-eigenaars App-winkels Fabrikanten van besturingssystemen Derden die betrokken zijn bij verzameling gegevens

25

Smart apps Welke persoonsgegevens? • Locatie • Contacten • Identificatiegegevens van het apparaat (IMEI, mobiele nummer) • Identiteit betrokkene • Naam telefoon ‘iPhone van Sofie van der Meulen’ • Creditcard- en betalingsgegevens • Registeren van gesprekken, sms-berichten of instant messaging • Browsergeschiedenis • E-mail • Inloggegevens voor diensten op internet • Foto’s en video’s • Biometrische informatie (bijv. gezichtsherkenning, vingerafdrukken) 26

Smart apps – compliance in de praktijk • Toestemming voorafgaand aan installatie en verwerking. Vrije wilsuiting Knoppen ‘accepteren’ en ‘weigeren’ NIET: ‘ik ga akkoord’ Specifiek Mogelijkheid om apart akkoord te gaan met specifieke verwerking per functie van de app. NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te gaan met lange lijst voorwaarden Geïnformeerd Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke rechten voor betrokkene • Doelbinding Geen tussentijdse wijziging van verwerkingsdoelen zonder ondubbelzinnige toestemming

27

Handige links WP 29 http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/index_en.htm CBP www.cbpweb.nl EU e-Health http://ec.europa.eu/health/ehealth/portal/index_nl.htm

28

Sofie van der Meulen Axon Advocaten Piet Heinkade 183 1019 HC Amsterdam +31 88 650 6500 +31 6 53 44 05 67 [email protected]

www.foodhealthlegal.com @FoodHealthLegal

View more...

Comments

Copyright � 2017 NANOPDF Inc.
SUPPORT NANOPDF