http://www.micvlaanderen.be

© Griet Verhenneman

Outline

1. Juridisch kader

0 Klinische proeven

0 Medische hulpmiddelen

0 Menselijke cellen en stoffen

0 Patiëntenrechten

0 Gegevensbescherming

2. Privacy in de zorg: de privacywet

3. Beheer van medische gegevens

0 Waar, hoe, hoe lang?

0 Beveiliging

INT

EU

Vl

BE

Verklaringen, verdragen en mensenrechten Verdragen, veronderningen en richtlijnen Wetten en KB’s + deontologische codes Decreten en uitvoeringsbesluiten

Gegevens

bescherming

Klinische proeven

Medische hulp-

middelen

Biologisch materiaal

Patiënten rechten

Klinische proeven Wet experimenten menselijke persoon

• Bescherming van de deelnemer

• Toestemming van de deelnemer

• Formele verplichtingen

Bv: recht om te stoppen

Medische hulpmiddelen (medical devices)

• Registratie & autorisatie

• IP

• Software als een medical device

• Onderscheid op Europees niveau in vitro ⇿ niet in vitro

Biologisch materiaal Ziekenhuiswet

• Hergebruik van biologisch materiaal

• Voor onderzoek

• Opt-out recht van de patiënt

vb

Patiëntenrechten het verzekeren van een

kwaliteitsvolle dienstverstrekking

aan de patiënt, die beantwoordt aan zijn behoeften, met eerbiediging van zijn

menselijke waardigheid

en zijn

zelfbeschikking

en

zonder enig onderscheid

op welke grond ook.

Kwaliteit dienstverlening

Vrije keuze beroepsbeoefenaar

Informatie

Vrije toestemming

Zorgvuldig en veilig patiëntendossier

Persoonlijke levenssfeer

Klacht bij ombuds

Disease management

European Charter of Patients’ Rights

Right nr° 12

0 “Each individual has the right to diagnostic or therapeutic programmes tailored as much as possible

to his or her personal needs.”

MAAR

0 “… making sure that the criteria of economic sustainability does not prevail over the right to health

care.”

Kostenbeheersing

Evidence-based programmas

Personalisatie

Disease management

Gegevens

bescherming

Klinische proeven

Medische hulpmiddelen

Biologisch materiaal

Patiëntenrechten

Gegevensbescherming Privacywet

algemeen

basis beschermingsniveau

voor iedere verwerking

van gegevens betreffende natuurlijke personen

“Privacy is not hiding behind screens when we do

something naughty or embarrassing, privacy is

intrinsic to liberty”

Scheinder (security technologist)

Het is verboden gezondheidsgegevens te

verwerken artikel 8, 1. Data Protection Directive

Of heeft u een uitzondering?

Outline

1. Juridisch kader

0 Klinische proeven

0 Medische hulpmiddelen

0 Menselijke cellen en stoffen

0 Patiëntenrechten

0 Gegevensbescherming

2. Privacy in de zorg: de privacywet

3. Beheer van medische gegevens

0 EHR

0 SaaS

0 Genomics

Aanleiding: Big Brother nachtmerrie

van de vroege jaren ’70

0 Impact informatiemaatschappij

0 Tussenkomst overheid

0 Schandalen zoals Watergate

De patiënt als consument

De geïnformeerde consument

Consumeren van zorg buiten de zorginstelling

• Self-management van uw gezondheid • Gezondheid een consumptiegoed

• Zelf diagnose met behulp van internetbronnen • Toegenomen bewustzijn van gezondheidssituatie en welzijn • Self-monitoring met behulp van sociale media en tools voor tracking

• Kortere ziekenhuisverblijven, langere thuis monitoring • Gegevensdeling en gegevensanalyse • Tele-health

Interdisciplinaire samenwerking

Efficiënte en veilige elektronische communicatie

Kwalitatieve en geïntegreerde patiënten dossiers

Technische en semantische interoperabiliteit

privacy en confidentialiteit

context is alles

“Facebook is yesterday

when it comes to privacy”

Jeremy Sugarman

prof bioethics and medicine John Hopkins

EU Data Protection Directive 95/46/EC

• Verondening beperkt vrijheid LS

Harmonisatie

• Betrokkene, al dan niet patiënt

Empowerment • Data breach

notification • Boetes

Handhaving

Wet Verwerking Persoonsgegevens

8 december 1992, zoals aangepast op 11 december 1998

Structuur:

Bescherming

Controle

Individuele rechten

bescherming: 2 niveau’s

gewone persoons-gegevens

gevoelige persoons-gegevens

Enkel persoonsgegevens:

0 Gegevens betreffende een geïdentificeerde of identificeerbare persoon

• Louter hypothetische mogelijkheid volstaat niet

• Maar wel voldoende dat één persoon de identiteit kan achterhalen

“account should be taken of all the means likely reasonable to be used either by the controller or by any other person to identify the individual”

0 Anonimisatie in gezondheidszorg is dus extreem moeilijk

• Zeldzame ziekten

• Genomics

Gezondheidsgegevens of ‘gegevens betreffende gezondheid’

“informatie betreffende fysieke of mentale gezondheid van een individu, of het

verlenen van gezondheidszorg aan het individu”

→ hiertoe behoren ook genetische gegevens, biometrische gegevens en biologische stalen,…

Het is verboden gezondheidsgegevens te

verwerken artikel 8, 1. Data Protection Directive

Tenzij…

legitieme grond voor de verwerking van gezondheidsgegevens

art 7 §2

a) Schriftelijke toestemming

b) Specifieke verplichtingen in het arbeidsrecht

c) Noodzakelijk voor de sociale zekerheid

d) Noodzakelijk voor de volksgezondheid

e) Wettelijke verplichting

f) Noodzakelijk ter bescherming van vitale belangen

g) Noodzakelijk ter voorkoming van een gevaar of strafrechtelijke inbreuk

h) Duidelijk door de betrokkene openbaar gemaakte gegevens

i) Noodzakelijk voor het verstrekken van zorg

j) Noodzakelijk voor wetenschappelijk onderzoek

• preventieve geneeskunde

• medische diagnose

• verstrekken van zorg of behandelingen

• beheer van de gezondheidsdiensten

→ in het belang van de betrokkene en onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg

fysiek of juridisch niet in staat om toestemming te geven

De toestemming is een uitdrukking van de patiënt zijn wil of wens

Hij drukt er zijn instemming mee uit

En geeft er vorm mee aan zijn leven

5 voorwaarden:

1. Geïnformeerd

2. Vrij

3. Specifiek

4. Op voorhand

5. Schriftelijk

• geïnformeerd

wel overwogen beslissing

• De voor- en nadelen van het toestemmen maar ook het weigeren van toestemming moet kennen

• De gevolgen van het toestemmen of niet-toestemmen moet kunnen overzien

• geïnformeerd

Een gedetailleerde lijst met elementen van informatie die minimaal aan de patiënt / cliënt moeten worden verstrekt is wettelijk vastgelegd.

(art 9)

• vrij

• een vrijwillig genomen beslissing

• die genomen werd vrij van enige inmenging

• die op elk moment kan worden ingetrokken.

“Reliance on consent should be confined to cases where the individual data subject has a genuine free choice and is subsequently able to withdraw the consent without detriment”

• specifiek

“een specifieke, duidelijk afgelijnde en omschreven verwerking van gegevens”

• specifieke interventie

• duidelijk afgebakend geheel van gegevens

• verzameld voor een afgelijnd doel

• op voorhand

• vóór met het verwerken van de gegevens wordt gestart

• volledig bekwaam en bij bewustzijn

• liefst redelijke termijn

• schriftelijk

• expliciete toestemming voor gegevens die de gezondheid niet betreffen

bv. administratieve niet-medische gegevens

• schriftelijke toestemming voor gezondheidsgegevens

in België

Elektronische toestemming

Consent should be given explicitly by any appropriate method enabling a freely given specific and informed indication of the data subject's wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data,

Elektronische toestemming

including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of their personal data.

Elektronische toestemming

If the data subject's consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.

legitimiteit

transparantie proportio-

naliteit

finaliteit

Outline

1. Juridisch kader

0 Klinische proeven

0 Medische hulpmiddelen

0 Menselijke cellen en stoffen

0 Patiëntenrechten

0 Gegevensbescherming

2. Privacy in de zorg: de privacywet

3. Beheer van medische gegevens

0 Waar, hoe, hoe lang?

0 Beveiliging

Uitgebreid wettelijk kader Bv voor ziekenhuizen:

• Ziekenhuiswet, 7 Augustus 1987 • KB minimale voorwaarden medisch dossier, 3

mei 1999 • KB minimale voorwaarden verpleegkundig

dossier, 28 december 2006

Soft law zoals

• Adviezen en aanbevelingen Privacycommissie en Europese Art 29 Werkgroep

• Advies Nationale Raad Orde Geneesheren • Advies telematicacommissie • Technische standaarden voor security

Wat? Recht op zorgvuldig bijgehouden en veilig bewaard dossier

Afhankelijk van de sector, minimum elementen bij KB bepaald

Doel:

Continuiteit van de zorg garanderen en kwaliteitscontrole toelaten

Hoe lang? Wettelijk:

• Medisch dossier “voor ten minste 30 jaar in het ziekenhuis” (art 1§3 KB 3/05/99)

• Verpleegkundig dossier “voor ten minste 20 jaar in het ziekenhuis” (art 1§3 KB 28/12/06)

Maar… 30 jaar is aan te raden voor ieder dossier

0 Burgerlijke aansprakelijkheid (art 2262bis Civil Code)

0 Deontologische verplichtingen (art 46 Code Geneeskundige Plichtenleer)

Hoe? • Liefst in elektronisch formaat… gelukkig!

• Liefst centraal per ziekenhuis of ten minste per departement

• Steeds toegankelijk

Note! Permanente toegankelijkheid ≠ permanente toegang

Waar? in het ziekenhuis? Niet noodzakelijk!

adviezen • Nationale Raad Orde:

Opslag bij commerciële firma (16/01/1999) Opslag van medische ziekenhuisgegevens (21/04/01)

• Telematicacommissie Advies nr. 7 “Lange termijn opslag van patiëntendossiers in ziekenhuizen” (18/06/02)

0 Invoegen foto security

Privacywet – Veiligheid

sinds 2001

“Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens”

10 actiedomeinen

voor informatieveiligheid

“tien actiedomeinen in verband met

de informatiebeveiliging waarvoor

elke instelling die persoonsgegevens

bewaart, verwerkt of mededeelt,

maatregelen moet nemen”

→ rechtspersoon, onderneming of administratie

integriteit

confidentialiteit

beschikbaarheid

Passend beveiligingsniveau

de technische state-of-the-art + de kost voor implementatie

de aard van de gegevens + the potentiële risico’s

10 referentiemaatregelen:

1. Veiligheidsbeleid

2. Veiligheidsconsulent

3. Organisatie en menselijke aspecten van de beveiliging

4. Fysieke beveiliging van de omgeving

5. Beveiliging van netwerken

6. Logische beveiliging van de toegang

7. Logging, opsporing en analyse van de toegang

8. Toezicht, nazicht en onderhoud

9. Beheer van veiligheidsincidenten en continuïteit

10. Documentatie

1. Veiligheidsbeleid • Risico analyse

• Beschrijving van de gestelde prioriteiten en de maatregelen genomen na uitvoering van de risico analyse

• Beschrijving van de verschillende aansprakelijkheden en organisatorische maatregelen genomen om deze te beperken

• Beschrijving van de procedure bij security inbreuk

+ hou dit document up-to-date: het is aanbevolen om 1x per jaar dit document te evalueren

2. Veiligheidsconsulent

“Er moet binnen de instelling een veiligheidsconsulent worden

aangesteld die verantwoordelijk is voor de uitvoering van het

veiligheidsbeleid”

3. Organisatie en menselijke aspecten van de beveiliging

• Beschrijving van de verschillende verantwoordelijken en de procedures die zij moeten volgen

• Beschrijving van de disciplinaire sancties die genomen kunnen worden bij inbreuken

• Vertrouwelijkheid- en geheimhoudingscontracten

4. Fysieke beveiliging van de omgeving

“De instelling moet de nodige maatregelen nemen om de fysieke bescherming van de persoonsgegevens te garanderen”

-> letterlijk achter slot en grendel

5. Beveiliging van netwerken

“De instelling moet zich ervan vergewissen dat de netwerken waarmee de apparatuur verbonden is en die betrokken is bij een verwerking van persoonsgegevens, de vertrouwelijkheid en de integriteit van de gegevens garanderen”

6. Logische beveiliging

“De instelling moet zich ervan vergewissen dat de persoonsgegevens overeenkomstig hun classificatie slechts toegankelijk zijn voor de personen en toepassingsprogramma’s die hiertoe uitdrukkelijk gemachtigd zijn”

7. Logging, opsporing en analyse van de toegang

• Traceren van foutieve of onnauwkeurige

gegevens

• Nagaan van toegang genomen tot de

gegevens

• Vaststellen van verantwoordelijkheden en

aansprakelijkheden

•

8. Toezicht, nazicht en onderhoud • Verzekeren dat de technische en organisatorische

veiligheidsmaatregelen gevalideerd zijn en regelmatig worden gecontroleerd

• Up-to-date houden van de veiligheidsmaatregelen naar gelang de state-of-the-art evolueert

• Opnieuw afwegen van de risico’s en genomen maatregelen in geval van verandering

9. Beheer veiligheidsincidenten en continuïteit

“De instelling moet beschikken over een beheersplan voor veiligheidsincidenten”

10. Documentatie

Concreet vraagt de Privacycommissie de volgende documenten centraal “in de schuif te hebben liggen”

- Identiteit van de veiligheidsconsulent

- De security policy

- Een inventaris van de verwerkte gegevens

- Een lijst met agenten of entiteiten die toegang hebben tot de gegevens

- De systeem en netwerkconfiguratie

- Een planning van de geplande ingrepen

- Historiek (van acties, bewerkingen, toegang,…)

- Incident en audit rapport

Conclusie

0 E-health is een disparaat geheel van informatie en communicatie middelen voor de gezondheidszorg.

0 ICT wordt misschien niet even snel opgenomen in de gezondheidssector als in andere sectoren, maar de maatschappelijke trends dringen aan op actie.

Conclusie

0 e-health is transversaal: verschillende juridische domeinen worden geconfronteerd met nieuwe vragen.

0 Deze wetten zijn verspreid over internationale, Europese en nationale bronnen.

0 Gegevensbescherming speelt een centrale rol.

Meer weten over IP en ICT recht?

Bekijk ons LLM programma in

Intellectuele rechten en ICT recht

www.hubrussel.be/IPR

Facebook

of contacteer Eva Lievens op eva.lievens@law.kuleuven.be!