eHealth & Privacy

Over verschillende privacy gerelateerde

aspecten van eHealth toepassingen

27 oktober 2011

Nadia Jagusiak en Joeri Toet

Clifford Chance Amsterdam

Ons kantoor in Amsterdam bestaat uit ongeveer 160 advocaten,

waaronder 22 partners en 17 counsels, en combineert uitgebreide kennis

van de Nederlandse markt met een internationaal netwerk. Kantoor Amsterdam is in 1972 opgericht

Het kantoor maakt deel uit van een geïntegreerd netwerk van 29 kantoren in 20 verschillende

landen

Onze diensten omvatten het hele spectrum van juridische specialisaties: Arbeidsrecht & Pensioenen

Belastingrecht

Bank- & Effectenrecht

Fonds- & Vermogensbeheer

Intellectueel Eigendomsrecht

Ondernemingsrecht & Commercieel recht

Onroerend goed recht (incl. Milieu- en Bestuursrecht & Bouw- en Aanbestedingsrecht)

Notarieel recht

Procesrecht

… waarin we ons niet alleen onderscheiden door de kwaliteit van ons

juridisch advies, maar ook door onze cliëntgerichte aanpak.

27 oktober 2011eHealth & Privacy 2

Kantoor Amsterdam

Opgericht in: 1972

Tel: +31 20 7119 000

Fax: +31 20 7119 999

eHealth & Privacy

Verkenning van het speelveld

• Verwerking van zeer gevoelige gegevens

• Ongekende technologische innovatie vooruitgang

• Toenemende aandacht voor privacy

Uiteenzetting van het juridische kader

• Verdragen en Europese Richtlijnen

• Nationale Wetgeving (generieke en bijzondere bepalingen)

Beschouwing van enkele eHealth toepassingen

• Bijv. een patiëntenplatform, social media en telezorg toepassingen,

het Elektronisch Patiëntendossier, etc.

27 oktober 2011 3eHealth & Privacy

Wet- en regelgeving (kader)

Europees Verdrag tot Bescherming van de Rechten van de

Mens (EVRM) en de Nederlandse grondwet

Bijzondere wetgeving

• Wet Geneeskundige Behandelingsovereenkomst (WOGB)

• Wet op de Beroepen in de Individuele Gezondheidszorg (Wet BIG)

Generieke wetgeving

• Wet Bescherming Persoonsgegevens (WBP)

27 oktober 2011 4eHealth & Privacy

Medisch beroepsgeheim (WOGB)

Geheimhoudingsplicht van de hulpverlener

• Informatieverstrekking aan patiënt

• Informatieverstrekking rechtstreeks bij de uitvoering van de

behandelingsovereenkomst betrokkene

Verstrekking aan derden alleen indien:

• Belang van de patiënt (consultatie)

• Toestemming van de patiënt

• Verplichting tot verstrekking bij of krachtens de wet

• Overmacht

27 oktober 2011 5eHealth & Privacy

Wet Bescherming Persoonsgegevens

Gebaseerd op de ePrivacy Richtlijn (1995/46/EG)

• Geharmoniseerde wetgeving (artikel 29 Werkgroep)

Van toepassing op elk geheel van handelingen met betrekking tot gegevens

betreffende een geïdentificeerd of identificeerbaar persoon.

Uitgangspunten van de Richtlijn en de WBP

• Doelbinding

• Kwaliteit

• Transparantie

• Beveiliging

• Verantwoording

• Rechten van de betrokkene

27 oktober 2011 6eHealth & Privacy

Voorwaarden voor verwerking (WBP)

Voorwaarden voor rechtmatige verwerking

• Behoorlijke en zorgvuldige verwerking overeenkomstig de wet

• Aanwezigheid specifiek omschreven en gerechtvaardigd doel

• Aanwezigheid legitieme verwerkingsgrond

– Ondubbelzinnige toestemming betrokkene

– Een (pre)contractuele of wettelijke verplichting

– Vrijwaring van een vitaal belang van de betrokkene

– Vervulling van een publiekrechtelijke taak

– Gerechtvaardigd belang van de verantwoordelijke of een derde

• Eerbiediging gebruiksbeperkingen en privacy waarborgen

– Doelbinding, bewaartermijnen, relevantie/toereikendheid

– Geheimhoudingsplicht

– Beveiligingsmaatregelen (technisch en organisatorisch)

– Bewerkerrelatie (schriftelijkheid, zorg voor naleving)

27 oktober 2011 7eHealth & Privacy

Bijzondere persoonsgegevens (WBP)

Verbod tot verwerking bijzondere persoonsgegevens (o.a.)• Gegevens betreffende de gezondheid van de betrokkene

• Wettelijk toegekende identificatienummers (BSN)

Uitzonderingen verwerking van medische gegevens (o.a.): • Bijzondere categorieën van verantwoordelijken

– Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening

– Verzekeraars

– Bestuursorganen, pensioenfondsen, werkgevers

• Bijzondere omstandigheden– Uitdrukkelijke toestemming betrokkene

– Eigen openbaring door de betrokkene

– Zwaarwegend algemeen belang

27 oktober 2011 8eHealth & Privacy

Aanvullende aandachtspunten (WBP)

Gedragscodes voor bepaalde sectoren

Melding van de verwerking en voorafgaand onderzoek

• Registratie bij het CBP

Informatieverstrekking aan de betrokkene

• Voorafgaand aan de verzameling of eerste verstrekking gegevens

• Identiteit verwerker, doeleinden verwerking, etc.

Eerbiediging rechten van de betrokkene

• Inzage, correctie en vernietiging (als onjuist, onvolledig of irrelevant)

Rechtsbescherming en toezicht

Doorgifte van persoonsgegevens naar landen buiten de EU

• Alleen onder strikte voorwaarden (m.n. beschermingsniveau)

27 oktober 2011 9eHealth & Privacy

Conclusie: opletten bij eHealth toepassingen

Let bij eHealth extra op de volgende juridische aspecten:

• Identificeer doel en middelen voor de verwerking

• Verzeker het bestaan van een legitieme verwerkingsgrond

• Wees transparant naar betrokkenen en toezichthouders

• Leg behandeling van persoonsgegevens in protocollen vast

– Grenzen en waarborgen verwerking: beveiliging, bewaartermijnen, etc.

– Uitoefening van rechten door betrokkenen

• Leg de relatie met bewerkers schriftelijk vast

• Meld de verwerking bij het CBP en wacht voorafgaand onderzoek af

• Leef voorwaarden voor doorgifte van persoonsgegevens na

“Privacy by design” – Neem juridische aspecten in acht

alvorens te ontwikkelen (encryptie, retentiebeleid, etc).

27 oktober 2011 10eHealth & Privacy

Casus Cessie van Vorderingen (I)

Casus

• Overdracht van vorderingen uit hoofde zorgverlening

• Overdracht automatisch en administratie binnen portal zichtbaar

• Exploitatie gegevensbestanden?

– Beoordeling kredietwaardigheid

– Automatische beslissingen

Juridische aandachtspunten

• Identificatie doel en grondslag van (voortgezette) verwerking

• Inlichting van de betrokkene

• Mogelijkheden tot behoud en exploitatie van gegevensbestanden

27 oktober 2011 11eHealth & Privacy

Casus Cessie van Vorderingen (II)

Enkele tips voor de aanpak

• Bepaal en beschrijf het doel van de verwerking vooraf

• Voorzie in de uitdrukkelijke toestemming van de betrokkene

• Inlichting/toestemming betrokkene bij overeenkomst (back-to-back)

• Leg geheimhoudingsplicht niet-hulpverleners schriftelijk vast

• Veranker de verwerking van gegevens in een data retentiebeleid

– Identificatie van te verwerken categorieën persoonsgegevens

– Beschrijving van het doel van de verwerking per categorie gegevens

– Formuleer beleid voor het verwijderen van gegevens

27 oktober 2011 12eHealth & Privacy

Casus Online Platform en Social Media (I)

Casus

• Online toegang tot gegevens (portal patiënten en zorgverleners)

– Medicatie-/patiëntendossiers en behandelrapporten

– Financiële rapportages (bijv. facturen, verzekeringspolissen, etc.)

• Online discussieplatform (forum en social media)

Juridische aandachtspunten

• Beperkingen verwerking bijzondere persoonsgegevens

• Waarborging gegevensverwerking

• Inschakeling van een bewerker (outsourcing)

• Interpretatie van de rechten van de betrokkene

• Grensoverschrijdend verkeer (welk recht, voorwaarden voor

doorgifte)

27 oktober 2011 13eHealth & Privacy

Casus Online Platform en Social Media (II)

Enkele tips voor de aanpak

• Uitdrukkelijke en schriftelijke toestemming patiënt / gebruiker

– In uitzonderlijke gevallen kan beroep gedaan worden op een andere

grondslag

• Waarborgen gegevensverwerking

– Passende technische en organisatorische beveiligingsmaatregelen

– Data retentiebeleid (bewaartermijnen, toepassing encryptie, anonimisering)

• Transparantie naar de patiënt / gebruiker

– Communicatie van het privacybeleid (“privacy statement”, zie CBP model)

– Protocol voor behandeling verzoeken patiënt / gebruiker

• Bij outsourcing van dienstverlening

– Schriftelijke bewerkersovereenkomst

– Naleving voorwaarden grensoverschrijdend verkeer

27 oktober 2011 14eHealth & Privacy

Clifford Chance Amsterdam

Vragen en opmerkingen?

Ook na afloop van de conferentie:

Nadia Jagusiak

Telefoon: 020-7113210

E-mail: Nadia.Jagusiak@CliffordChance.com

Joeri Toet

Telefoon: 020-7119394

E-mail: Joeri.Toet@CliffordChance.com

27 oktober 2011eHealth & Privacy 15

Kantoor Amsterdam

Opgericht in: 1972

Tel: +31 20 7119 000

Fax: +31 20 7119 999

Clifford Chance, Droogbak 1A, 1013 GE Amsterdam, PO Box 251, 1000 AG Amsterdam

© Clifford Chance LLP 2011

Clifford Chance LLP is a limited liability partnership registered in England and Wales

under number OC323571

Registered office: 10 Upper Bank Street, London, E14 5JJ

We use the word 'partner' to refer to a member of Clifford Chance LLP, or an employee or

consultant with equivalent standing and qualificationsAMSDAM-1-829892-v1D

www.cliffordchance.com

eHealth & Privacy