Griet Verhenneman - Privacy in zorg proeftuinen
description
Transcript of Griet Verhenneman - Privacy in zorg proeftuinen
1
Privacy in zorgproeftuinen Griet Verhenneman Gent, 25 oktober 2013
INT
EU
Vl
BE
Verklaringen, verdragen en mensenrechten Verdragen, verordeningen en richtlijnen Wetten en KB’s + deontologische codes Decreten en uitvoeringsbesluiten
Gegevens bescherming
Klinische proeven
Medische hulp-
middelen
Biologisch materiaal
Patiënten rechten
Gegevens bescherming
Klinische proeven
Medische hulpmiddelen
Biologisch materiaal
Patiëntenrechten
Outline
1. Gegevens-bescherming – “theorie”
§ Bescherming van persoonsgegevens
§ Rolverdeling verantwoordelijke voor verwerking - verwerker
2. De Privacywet in 4 stappen
§ Legitieme grondslag § Doel § Proportionaliteit § Transparantie
30/10/13 6
Wet Verwerking Persoonsgegevens
8 december 1992, zoals aangepast op 11 december 1998
Europese basis “under review”
Privacywet
algemeen basis beschermingsniveau
voor iedere verwerking van gegevens
betreffende natuurlijke personen
bescherming is het vertrekpunt
30/10/13 9
gewone persoonsgegevens
gevoelige persoonsgegevens
Bescherming van persoonsgegevens
§ Gegevens betreffende een natuurlijke persoon, rechtspersonen niet beschermd
§ geïdentificeerde of identificeerbare persoon
30/10/13 11
Geanonimiseerde gegevens vallen buiten de wet
Maar opgelet: § anonimisatie is steeds one way! § ≠ pseudonimisatie of codering § ≠ encryptie
Extra op letten in gezondheidszorg
§ zeldzame aandoeningen
§ genetische gegevens § terugkoppeling
resultaten wenselijk
Extra op letten in onderzoek
§ (te) kleine onderzoekspopulatie
§ accumulatie van gegevens of databanken
30/10/13 13
⇒ Anonimisatie is moeilijk en staat onder druk! vaak pseudonimisatie, wat wel onder de wet valt.
Bescherming van gevoelige gegevens waaronder “gegevens betreffende de gezondheid”:
§ fysieke of mentale gezondheid
§ over het verlenen van gezondheidszorg
Inclusief genetische en biometrische gegevens of stalen
Rolverdeling
betrokkene
verant-woorde-
lijke
ver-werker derde
30/10/13 15
Betrokkene
§ Natuurlijke persoon § Van wie gegevens verwerkt worden
30/10/13 16
Verantwoordelijke voor de verwerking
§ Bepaalt doel en middelen van de verwerking § Natuurlijke persoon, rechtspersoon, vereniging
of openbaar bestuur § Alleen of samen
30/10/13 17
Verwerker
§ Werkt in opdracht van de verantwoordelijke § Maar niet onder rechtstreeks gezag § Natuurlijke persoon, rechtspersoon, vereniging
of openbaar bestuur
30/10/13 18
Derde
§ Een andere dan de betrokkene, verantwoordelijke of verwerker
§ Aan wie gegevens verstrekt worden § of van wie gegevens verkregen worden § Natuurlijk persoon, rechtspersoon, vereniging of
openbaar bestuur
30/10/13 19
Verantwoordelijke
§ Zorgt voor informatie aan betrokkene en aan overheid
§ Zorgt voor respect rechten van de betrokkene
§ Waarborgt samenwerking met “gezonde verwerker”
§ Maakt contract op met gekozen verwerker
§ Waarborgt “gezonde” verwerking van gegevens
⇒ kijkt toe op en zorgt voor naleving van de wet
Verwerker
§ Verwerkt enkel gegevens in opdracht van en zoals overeengekomen met verantwoordelijke
§ Voorziet gepaste technische en organisatorische maatregelen ter beveiliging van de door hem verwerkte gegevens
§ Zorgt voor beschikbaarheid van verwerkte gegevens
⇒ verwerkt gegevens volgens afspraken
30/10/13 20
Privacywet in 4 stappen
Zorg voor een legitieme grondslag
Bepaal het doel van de verwerking
Check de proportionaliteit
Aandacht voor transparantie
30/10/13 21
gewone persoons-gegevens
gevoelige persoons-gegevens
Zorg voor een legitieme grondslag
De verwerking van gevoelige gegevens is
verboden
tenzij... uitzondering!
a) Schriftelijke toestemming b) Specifieke verplichtingen in het arbeidsrecht c) Noodzakelijk voor de sociale zekerheid d) Noodzakelijk voor de volksgezondheid e) Wettelijke verplichting f) Noodzakelijk ter bescherming van vitale
belangen g) Noodzakelijk ter voorkoming van een gevaar of
strafrechtelijke inbreuk h) Duidelijk door de betrokkene openbaar
gemaakte gegevens i) Noodzakelijk voor het verstrekken van zorg j) Noodzakelijk voor wetenschappelijk onderzoek ! Of een andere wettelijke toelating
Schriftelijke toestemming
30/10/13 26
5 voorwaarden: 1. Geïnformeerd 2. Vrij 3. Specifiek 4. Op voorhand 5. Schriftelijk
30/10/13 28
30/10/13 29
30/10/13 30
30/10/13 31
• expliciete toestemming voor gegevens die de gezondheid niet betreffen
bv. administratieve niet-medische gegevens
• schriftelijke toestemming voor gezondheidsgegevens
(onder huidige Belgische wetgeving)
ECHTER
voor iedere verwerking van gezondheidsgegevens is toestemming van de betrokkene nodig
= mythe
30/10/13 33
Beste voorbeeld:
§ preventieve geneeskunde § medische diagnose
§ verstrekken van zorg of behandelingen § beheer van de gezondheidsdiensten
voor zover in het belang van de betrokkene en onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg
Maar ook wetenschappelijk onderzoek met:
§ geanonimiseerde gegevens § resten van stalen
§ … in opdracht van wetgever
voor zover voldaan aan voorwaarden KB of Wet
30/10/13 35
Later hergebruik van gegevens voor onderzoek
§ geanonimiseerde gegevens § gepseudonimiseerde gegevens
voor zover voldaan aan voorwaarden van KB tot uitvoering van Privacywet van 13 februari 2001
30/10/13 36
Ook de verwerking van “gewone” persoonsgegevens enkel toegelaten in de
door de wet bepaalde gevallen
30/10/13 37
a) Ondubbelzinnige toestemming b) Uitvoering van een overeenkomst met betrokkene c) Noodzakelijk voor wettelijke verplichtingen van de
betrokkene d) Vrijwaring van een vitaal belang van de betrokkene e) Noodzakelijk voor een taak van openbaar belang f) Noodzakelijk voor behartiging van het gerechtvaardigd
belang van de verantwoordelijke of een derde mits de fundamentele rechten en vrijheden niet zwaarder doorwegen
30/10/13 38
30/10/13 39
Bepaal het doel van de verwerking
doelgebonden verwerking gegevens mogen enkel verwerkt worden voor “een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel”
nooit verder gebruik dat niet binnen redelijke verwachtingen van betrokkene valt
beperkt in de tijd
gegevens wissen indien niet langer vereist om dit doel te bereiken
Bij latere verwerking voor onderzoek ook wel “secundair gebruik” genoemd
§ historisch, statistisch of wetenschappelijk
onderzoek
§ waterval-systeem en aantonen waarom
§ geen pogingen tot her-identificatie
§ publicatie van resultaten enkel anoniem tenzij uitdrukkelijke toestemming betrokkene
30/10/13 41
Onderzoek met gepseudonimiseerde gegevens: § Geen toestemming vereist,
in principe wél kennisgeving
§ Codering door verantwoordelijke van de verwerking, verwerker of intermediaire organisatie
§ Voldoende beveiligen om her-identificatie tegen te gaan
30/10/13 42
toereikend
terzake dienend
niet overmatig 30/10/13 43
Check de proportionaliteit
“Need to know, not nice to know”
30/10/13 45
Aandacht voor transparantie
Informatie § naar betrokkene toe
§ toestemmingsformulier § kennisgevingsformulier § informatiebrochure § contactpersoon voor verdere vragen
§ naar overheid § machtiging sectoraal comité voor gezondheidszorg § aangifte privacycommissie
30/10/13 46
30/10/13 47
Informatie naar overheid
machtiging en aangifte
§ Machtiging = strengere procedure, de uitzondering
§ Aangifte = standaard
Machtiging § Sectoraal comité § Geen standaard formulier § Per post § Voor start onderzoek § Positief antwoord
afwachten § Bij mededeling van
gezondheidsgegevens
Aangifte § Privacy-commissie § Standaard formulier § Online § Voor start onderzoek § Enkel bij negatief advies
bericht § Bij verwerking van alle
persoonsgegevens
30/10/13 49
Wanneer “verwerking”?
30/10/13 50
Wanneer “mededeling”?
§ Gegevens werden verzameld met een bepaald doel
§ Een instelling (al dan niet overheidsinstelling) geeft deze gegevens door
§ Aan een derde partij
§ Voor gebruik voor een nieuw doel
30/10/13 51
Valt NIET onder “mededeling” § Uitwisseling van gegevens tussen de
verantwoordelijke voor de verwerking en verwerker § Uitwisseling van gegevens tussen de
verantwoordelijke voor de verwerking en de betrokkene
§ Uitwisseling van gegevens tussen beroepsbeoefenaars in de gezondheidszorg gebonden door beroepsgeheim en persoonlijk betrokken bij de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten opzichte van de patiënt
30/10/13 52
30/10/13 53
terugkoppeling
verder onderzoek
codering
30/10/13 54
Nakijken op fouten, analyse en rapportering
over gecodeerde
gegevens
30/10/13 55
Verder gebruik voor
terugkoppeling kraamafdelingen
en wetenschappelijke
studies
Te onthouden:
§ Geldt niet enkel voor overheidsinstellingen maar voor alle instanties
§ Verplichting tot machtiging wordt gekoppeld aan oorspronkelijk doel waarvoor gegevens werden verzameld
§ Toestemming van de betrokkene doet niets af aan verplichting tot machtiging
30/10/13 56
Wat is belangrijk voor privacy-commissie en sectoraal comité?
§ Legitieme grondslag voor verwerking § Informed consent
§ Akkoord tussen verwerkende partijen § Overeenkomst verantwoordelijke en verwerker
§ Veiligheid § Cf. referentiemaatregelen inzake informatieveiligheid
30/10/13 57
Bedankt. Griet Verhenneman – Researcher ICRI – KULeuven - iMinds
30/10/13 58