eHealth - Nadia Jagusiak & Joeri Toet - Clifford Chance
description
Transcript of eHealth - Nadia Jagusiak & Joeri Toet - Clifford Chance
eHealth & Privacy
Over verschillende privacy gerelateerde
aspecten van eHealth toepassingen
27 oktober 2011
Nadia Jagusiak en Joeri Toet
Clifford Chance Amsterdam
Ons kantoor in Amsterdam bestaat uit ongeveer 160 advocaten,
waaronder 22 partners en 17 counsels, en combineert uitgebreide kennis
van de Nederlandse markt met een internationaal netwerk. Kantoor Amsterdam is in 1972 opgericht
Het kantoor maakt deel uit van een geïntegreerd netwerk van 29 kantoren in 20 verschillende
landen
Onze diensten omvatten het hele spectrum van juridische specialisaties: Arbeidsrecht & Pensioenen
Belastingrecht
Bank- & Effectenrecht
Fonds- & Vermogensbeheer
Intellectueel Eigendomsrecht
Ondernemingsrecht & Commercieel recht
Onroerend goed recht (incl. Milieu- en Bestuursrecht & Bouw- en Aanbestedingsrecht)
Notarieel recht
Procesrecht
… waarin we ons niet alleen onderscheiden door de kwaliteit van ons
juridisch advies, maar ook door onze cliëntgerichte aanpak.
27 oktober 2011eHealth & Privacy 2
Kantoor Amsterdam
Opgericht in: 1972
Tel: +31 20 7119 000
Fax: +31 20 7119 999
eHealth & Privacy
Verkenning van het speelveld
• Verwerking van zeer gevoelige gegevens
• Ongekende technologische innovatie vooruitgang
• Toenemende aandacht voor privacy
Uiteenzetting van het juridische kader
• Verdragen en Europese Richtlijnen
• Nationale Wetgeving (generieke en bijzondere bepalingen)
Beschouwing van enkele eHealth toepassingen
• Bijv. een patiëntenplatform, social media en telezorg toepassingen,
het Elektronisch Patiëntendossier, etc.
27 oktober 2011 3eHealth & Privacy
Wet- en regelgeving (kader)
Europees Verdrag tot Bescherming van de Rechten van de
Mens (EVRM) en de Nederlandse grondwet
Bijzondere wetgeving
• Wet Geneeskundige Behandelingsovereenkomst (WOGB)
• Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG)
Generieke wetgeving
• Wet Bescherming Persoonsgegevens (WBP)
27 oktober 2011 4eHealth & Privacy
Medisch beroepsgeheim (WOGB)
Geheimhoudingsplicht van de hulpverlener
• Informatieverstrekking aan patiënt
• Informatieverstrekking rechtstreeks bij de uitvoering van de
behandelingsovereenkomst betrokkene
Verstrekking aan derden alleen indien:
• Belang van de patiënt (consultatie)
• Toestemming van de patiënt
• Verplichting tot verstrekking bij of krachtens de wet
• Overmacht
27 oktober 2011 5eHealth & Privacy
Wet Bescherming Persoonsgegevens
Gebaseerd op de ePrivacy Richtlijn (1995/46/EG)
• Geharmoniseerde wetgeving (artikel 29 Werkgroep)
Van toepassing op elk geheel van handelingen met betrekking tot gegevens
betreffende een geïdentificeerd of identificeerbaar persoon.
Uitgangspunten van de Richtlijn en de WBP
• Doelbinding
• Kwaliteit
• Transparantie
• Beveiliging
• Verantwoording
• Rechten van de betrokkene
27 oktober 2011 6eHealth & Privacy
Voorwaarden voor verwerking (WBP)
Voorwaarden voor rechtmatige verwerking
• Behoorlijke en zorgvuldige verwerking overeenkomstig de wet
• Aanwezigheid specifiek omschreven en gerechtvaardigd doel
• Aanwezigheid legitieme verwerkingsgrond
– Ondubbelzinnige toestemming betrokkene
– Een (pre)contractuele of wettelijke verplichting
– Vrijwaring van een vitaal belang van de betrokkene
– Vervulling van een publiekrechtelijke taak
– Gerechtvaardigd belang van de verantwoordelijke of een derde
• Eerbiediging gebruiksbeperkingen en privacy waarborgen
– Doelbinding, bewaartermijnen, relevantie/toereikendheid
– Geheimhoudingsplicht
– Beveiligingsmaatregelen (technisch en organisatorisch)
– Bewerkerrelatie (schriftelijkheid, zorg voor naleving)
27 oktober 2011 7eHealth & Privacy
Bijzondere persoonsgegevens (WBP)
Verbod tot verwerking bijzondere persoonsgegevens (o.a.)• Gegevens betreffende de gezondheid van de betrokkene
• Wettelijk toegekende identificatienummers (BSN)
Uitzonderingen verwerking van medische gegevens (o.a.): • Bijzondere categorieën van verantwoordelijken
– Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening
– Verzekeraars
– Bestuursorganen, pensioenfondsen, werkgevers
• Bijzondere omstandigheden– Uitdrukkelijke toestemming betrokkene
– Eigen openbaring door de betrokkene
– Zwaarwegend algemeen belang
27 oktober 2011 8eHealth & Privacy
Aanvullende aandachtspunten (WBP)
Gedragscodes voor bepaalde sectoren
Melding van de verwerking en voorafgaand onderzoek
• Registratie bij het CBP
Informatieverstrekking aan de betrokkene
• Voorafgaand aan de verzameling of eerste verstrekking gegevens
• Identiteit verwerker, doeleinden verwerking, etc.
Eerbiediging rechten van de betrokkene
• Inzage, correctie en vernietiging (als onjuist, onvolledig of irrelevant)
Rechtsbescherming en toezicht
Doorgifte van persoonsgegevens naar landen buiten de EU
• Alleen onder strikte voorwaarden (m.n. beschermingsniveau)
27 oktober 2011 9eHealth & Privacy
Conclusie: opletten bij eHealth toepassingen
Let bij eHealth extra op de volgende juridische aspecten:
• Identificeer doel en middelen voor de verwerking
• Verzeker het bestaan van een legitieme verwerkingsgrond
• Wees transparant naar betrokkenen en toezichthouders
• Leg behandeling van persoonsgegevens in protocollen vast
– Grenzen en waarborgen verwerking: beveiliging, bewaartermijnen, etc.
– Uitoefening van rechten door betrokkenen
• Leg de relatie met bewerkers schriftelijk vast
• Meld de verwerking bij het CBP en wacht voorafgaand onderzoek af
• Leef voorwaarden voor doorgifte van persoonsgegevens na
“Privacy by design” – Neem juridische aspecten in acht
alvorens te ontwikkelen (encryptie, retentiebeleid, etc).
27 oktober 2011 10eHealth & Privacy
Casus Cessie van Vorderingen (I)
Casus
• Overdracht van vorderingen uit hoofde zorgverlening
• Overdracht automatisch en administratie binnen portal zichtbaar
• Exploitatie gegevensbestanden?
– Beoordeling kredietwaardigheid
– Automatische beslissingen
Juridische aandachtspunten
• Identificatie doel en grondslag van (voortgezette) verwerking
• Inlichting van de betrokkene
• Mogelijkheden tot behoud en exploitatie van gegevensbestanden
27 oktober 2011 11eHealth & Privacy
Casus Cessie van Vorderingen (II)
Enkele tips voor de aanpak
• Bepaal en beschrijf het doel van de verwerking vooraf
• Voorzie in de uitdrukkelijke toestemming van de betrokkene
• Inlichting/toestemming betrokkene bij overeenkomst (back-to-back)
• Leg geheimhoudingsplicht niet-hulpverleners schriftelijk vast
• Veranker de verwerking van gegevens in een data retentiebeleid
– Identificatie van te verwerken categorieën persoonsgegevens
– Beschrijving van het doel van de verwerking per categorie gegevens
– Formuleer beleid voor het verwijderen van gegevens
27 oktober 2011 12eHealth & Privacy
Casus Online Platform en Social Media (I)
Casus
• Online toegang tot gegevens (portal patiënten en zorgverleners)
– Medicatie-/patiëntendossiers en behandelrapporten
– Financiële rapportages (bijv. facturen, verzekeringspolissen, etc.)
• Online discussieplatform (forum en social media)
Juridische aandachtspunten
• Beperkingen verwerking bijzondere persoonsgegevens
• Waarborging gegevensverwerking
• Inschakeling van een bewerker (outsourcing)
• Interpretatie van de rechten van de betrokkene
• Grensoverschrijdend verkeer (welk recht, voorwaarden voor
doorgifte)
27 oktober 2011 13eHealth & Privacy
Casus Online Platform en Social Media (II)
Enkele tips voor de aanpak
• Uitdrukkelijke en schriftelijke toestemming patiënt / gebruiker
– In uitzonderlijke gevallen kan beroep gedaan worden op een andere
grondslag
• Waarborgen gegevensverwerking
– Passende technische en organisatorische beveiligingsmaatregelen
– Data retentiebeleid (bewaartermijnen, toepassing encryptie, anonimisering)
• Transparantie naar de patiënt / gebruiker
– Communicatie van het privacybeleid (“privacy statement”, zie CBP model)
– Protocol voor behandeling verzoeken patiënt / gebruiker
• Bij outsourcing van dienstverlening
– Schriftelijke bewerkersovereenkomst
– Naleving voorwaarden grensoverschrijdend verkeer
27 oktober 2011 14eHealth & Privacy
Clifford Chance Amsterdam
Vragen en opmerkingen?
Ook na afloop van de conferentie:
Nadia Jagusiak
Telefoon: 020-7113210
E-mail: [email protected]
Joeri Toet
Telefoon: 020-7119394
E-mail: [email protected]
27 oktober 2011eHealth & Privacy 15
Kantoor Amsterdam
Opgericht in: 1972
Tel: +31 20 7119 000
Fax: +31 20 7119 999
Clifford Chance, Droogbak 1A, 1013 GE Amsterdam, PO Box 251, 1000 AG Amsterdam
© Clifford Chance LLP 2011
Clifford Chance LLP is a limited liability partnership registered in England and Wales
under number OC323571
Registered office: 10 Upper Bank Street, London, E14 5JJ
We use the word 'partner' to refer to a member of Clifford Chance LLP, or an employee or
consultant with equivalent standing and qualificationsAMSDAM-1-829892-v1D
www.cliffordchance.com
eHealth & Privacy