Samen werken aan één ambitie

Gegevensbescherming in de ketenConferentie ‘Cyber? Mij een zorg’

Datum: 18 april 2018Auteur: mr. Leonie Gerding

2

De AVG heeft iedereen in zijn greep:

3

Op 25 mei wil iedereen hetzelfde hebben bereikt:

AVG - Beginselen staan centraal

juistheid

doelbinding

minimale gegevensverwerking

opslagbeperking

rechtmatigheid, behoorlijkheid en transparantie

verantwoordingsplicht

integriteit en vertrouwelijkheid

Als iedereen hetzelfde wil

5

Als iedereen hetzelfde doel voor ogen heeft…

Uitdagingen bij ketenaanpak

Kenmerken keten:

▪ veel onafhankelijke partijen

▪ tegengestelde belangen van de ketenpartijen

▪ bestuurlijke en administratieve complexiteit

Ketenpartijen kijken vanuit de eigen organisatie naar ketens:

▪ overschatten van kansen

▪ onderschatten problemen en risico’s

▪ meestal liggen de lasten en baten maatregelen niet bij dezelfde schakel.

6

Uitdaging:Hoe te komen tot een gezamenlijke benadering voor

gegevensbescherming in de keten?

Samen werken aan betere gegevensverwerking

7

De betrokken partijen

VerwerkerVerantwoordelijke

Bij het verwerken van persoonsgegevens staan verschillende actoren centraal:

Subverwerker

betrokkene ontvangers

Uitvoering namens verantwoordelijke

Levering van data

Bepaal als organisatie je ambitie

1) Waar sta ik als organisatie nu qua

AVG?

2) Waar wil ik als organisatie staan

over een jaar qua AVG?

3) Wat betekent dit voor mijn

ketenpartners?

9

Risk-based compliant

Vervulling alle formele voorwaarden

Next-level compliant

Samen werken aan goede gegevensverwerking

10

?

Privacygovernance Inzicht verwerkingen Afspraken verwerkers Risicoanalyse

Beveiliging Rechten betrokkenen Privacy by design/default

Transparantie

Privacycultuur Dataminimalisatie Datalekken Beroepsethiek

Samen werken aan goede gegevensverwerking

11

Binnen [X] is er voldoende kennis beschikbaar over privacy in de zorg

Verwerkers hebben hun register op orde voor de verwerking die ze voor {X} uitvoeren

Verwerkers hebben aantoonbaar onze afspraken doorgelegd aan subverwerkers

Voor alle nieuwe verwerkingen, projecten of dataleveringen wordt een risicoanalyse ten aanzien van privacy gemaakt

Aanbevolen beveiligingsmaatregelen (vanuit de PIA) worden jaarlijks hereikt

Cliënten kunnen eenvoudig hun persoonsgegevens inzien zowel bij [X} als bij partners van [X[

Omarming van nieuwe technieken gaat samen met een goede borging van privacy

Voordat een behandeling start is de cliënt actief geïnformeerd over de wijze van verwerkingen van gegevens

Iedere nieuwe werknemer krijgt een privacy-training

Bij ieder invulveld kijken we kritisch naar de noodzakelijkheid voor het uitvragen ervan

Onze procedures rondom datalekken zijn concreet beschreven en met partners is afgesproken wie wat wanneer doet

Medische persoonsgegevens zijn alleen inzichtelijk voor behandelaars

?

Privacygovernance Inzicht verwerkingen Afspraken verwerkers Risicoanalyse

Beveiliging Rechten betrokkenen Privacy by design/default

Transparantie

Privacycultuur Dataminimalisatie Datalekken Beroepsethiek

Zorgpunten

Privacy & security komen niet, of te laat, aan bod

12

Iedereen trekt zijn eigen plan (of niet…)2

1

Zorgpunten

13

PRIVACY

Drie tips voor een betere samenwerking bij gegevensverwerking vanaf morgen:

14

Bij een nieuwe samenwerking: zet privacy & security direct op de agenda

1

Begrijp elkaar: breng de juiste gesprekspartners bijeen, ieder met een eigen expertise

2

Bepaal wie je meest cruciale partners zijn en hou die afspraken samen nog eens tegen het licht

3