Opleiding FG De belangrijkste wettelijke kaders Luuk Arends
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Wet aanvullende bepalingen verwerking persoonsgegevens zorg § Per 1 juli 2017 in werking § Drie bepalingen later in werking § Eén bepaling treedt niet in werking
Verwerking persoonsgegevens zorg § Gespecificeerde toestemming § Uitdrukkelijke toestemming raadplegen § Recht op informatie § Recht op elektronische inzage & afschrift § Geen toegang zorgverzekeraars en bedrijfsartsen
Wat verandert er voor de zorg? § Gespecificeerde toestemming voor beschikbaarstelling elektronisch verwerkingssysteem § Nader uitgewerkt informatierecht § Recht op elektronische inzage en afschrift (inclusief logging) § Mogelijkheid ontzetting beroep bij veroordeling computervredebreuk of geheimhoudingsplicht § NEN 7510, 7512 en 7513 wettelijk verplicht § Aparte bewaartermijn logginggegevens
Beveiliging
Functionaris gegevensbescherming § Soms verplicht § Intern toezichthouder § Zonder last of ruggespraak § Samenwerking met externe toezichthouder en ‘contactpunt’ In Nederland binnenkort verplicht voor zorginstellingen Vanaf 25 mei 2018 ook voor CIZ
Verwerkersovereenkomsten Ver § Verantwoordelijke blijft verantwoordelijk! § Schriftelijke overeenkomst nodig § AP stelt eisen aan overeenkomst; controle houden!
Eisen aan overeenkomst (1) § Voldoende organisatorische en technische beveiliging § Toestemming voor subverwerkers § Onderwerp, duur, aard en doel verwerking, soort persoonsgegevens en categorieën van betrokkenen § Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies § Geheimhouding
Eisen aan overeenkomst (2) § Bijstand verlenen bij vervullen verplichtingen verwerkingsverantwoordelijke jegens betrokkene § Melding incidenten § Controlemogelijkheden beveiliging § Aansprakelijkheid? § Wat te doen met gegevens na afloop overeenkomst?
Oók verwerkingsverantwoordelijkenovereenkomsten § Regelen: • Juridisch verantwoordelijke, • Ieder voor zich, of • allemaal verantwoordelijk? § Gezamenlijk doel en middelen bepalen, maar hoe? § Wie is waarvoor verantwoordelijk? § Hoe relatie met betrokkene geregeld? § Hoofdelijke aansprakelijkheid ook wat betreft rechten betrokkene
Nooitgedacht § Zorgverzekeraar Zekere Zorg heeft met Zorggroep nooitgedacht, een samenwerkingsverband, oorspronkelijk opgericht door huisartsen in de regio, een overeenkomst gesloten voor het verlenen van multidiscplinaire zorg aan diabetespatiënten. Voorwaarde daarbij is dat Nooitgedacht moet deelnemen aan een landelijke benchmark, om de kwaliteit van de zorg te meten. § Wat moet Nooitgedacht allemaal afspreken met samenwerkingspartners bij het verlenen van zorg? § Wat moet Nooitgedacht afspreken met een leverancier van het ketenzorginformatiesysteem?
Beveiligingsvoorschriften § Passende en organisatorische maatregelen § Parameters: § techniek, § kosten, § type verwerkingen, en § risico’s
Beveiliging is ook § Pseudonimisering en versleuteling, waar passend § Garantie vertrouwelijkheid en betrouwbaarheid § Herstelmogelijkheden § Procedure voor testen, beoordelen en evalueren beveiliging § Aansluiten bij gedragscode of certificeringsmechanisme
Beveiliging § Artikel 13 Wbp/artikel 32 Avg § ISO 27001 en ISO 27002 § BIR § NEN 7510 § NEN 7512 § NEN 7513
Gegevensbeschermingseffectbeoordeling (PIA) § Al verplicht voor overheidsinstanties § nieuwe wetgeving § Nieuwe technologieën § Grote databestanden § Artikel 35 schrijft voor wanneer § AP moet lijst publiceren
Datalek in Avg § Inbreuk op de beveiliging § Per ongeluk of expres § vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang § Melden, tenzij geen risico
Wat is een datalek? Computer Delen wachtwoord Logging uit USB hacker brand verlies telefoon malwarebesmetting
Het USB-incident § Janine doet indicaties voor het CIZ op locatie. Omdat zij vaak vanuit huis werkt en bovendien in een buitengebied woont met een hele slechte internetverbinding, schrijft zij relevante gegevens op een usb-stick die zij vervolgens mee naar haar werk neemt om te kunnen verwerken ten behoeve van het definitieve indicatiebesluit. § Op zekere dag valt de USB-stick in de toilet. § Moet er gemeld worden? § 1. Als een kopie beschikbaar is? 2. De USB-stick encrypted is? 3. Alleen NAW-gegevens opstaan?
Wanneer meldplicht? § Meldingsplicht bij datalek (melden bij AP): § inbreuken op de beveiliging (beveiligingsincident), § Wbp: met (aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. § Avg: § melden, tenzij niet waarschijnlijk dat er risico is voor rechten en vrijheden van natuurlijke personen § Lek van bijzondere persoonsgegevens (zoals gezondheidsgegevens) altijd melden
Hoe melden? § § Melding aan AP: § Wat is er aan de hand? § Waarschijnlijke gevolgen § Naam FG § Maatregelen § Waar meer informatie verkrijgbaar? § Stapsgewijze infoverstrekking is toegestaan Eventueel melding aan betrokkene Wat is rol FG? 72
Sancties Avg 10 mijoen § Aanwijzing, § Waarschuwing, § Berisping § Aanwijzing § Opleggen boete 20 miljoen
Actuele kennis van wet- en regelgeving Jurisprudentie mr. dr. L. A. P. (Luuk) Arends E-mail: arends@dirkzwager. nl Telefoon 024 - 381 31 28 Dirkzwager zorgt dat u het weet. Kantoor Arnhem Kantoor Nijmegen Postbus 111 Postbus 55 6800 AC Arnhem 6500 AB Nijmegen Velperweg 1 Van Schaeck Mathonsingel 4 6824 BZ Arnhem 6512 AN Nijmegen T +31 (0)88 24 24 100 F +31 (0)88 24 24 111 E info@dirkzwager. nl I www. dirkzwager. nl
- Slides: 22