PRIVACY IN DE GEZONDHEIDSZORG

Privacy in de gezondheidszorg19 maart 2014

Sofie van der Meulenwww.axonlawyers.com

Agenda

• Privacy

• Privacy in Nederland: de Wet bescherming persoonsgegevens in de gezondheidszorg

• Big data, apps & privacy

• Aankomende wijzigingen vanuit de EU Privacy Verordening

• Afsluiting

2

Wat is privacy?• Lichamelijke privacyArtikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.

• Relationele privacyArtikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim.

• Ruimtelijke privacyArtikel 12 Grondwet: het binnentreden van een woning.

• Informationele privacyArtikel 8 Handvest van de Grondrechten van de Europese Unie:

‘1.   Eenieder heeft recht op bescherming van zijn persoonsgegevens.2.   Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.’ 3

Artikel 10 Grondwet

1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

4

Privacy in het middelpunt van de belangstelling• Artikel Guardian over het uploaden patiëntgegevens naar Google• De NSA kijkt met u mee• AIVD deelde data telefoonverkeer met VS

5

Assange & Snowden

Edward Snowden lekte in juni 2013 informatie overspionageactiviteiten door de NSA. NSA gebruikt hetprogramma PRISM voor het in de gaten houden van wereldwijde online communicatie.

TED talk Edward Snowden: http://goo.gl/Z5gbEZ

Julian Assange richtte in 2006 klokkenluiderswebsite WikiLeaks op. Via deze website kunnen officiële documenten gelekt worden.

6

Bradley E. Manning

7

Privacy

• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

In Nederland geïmplementeerd in:

• De Wet bescherming persoonsgegevens (WBP)

De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld.

• Op Europees niveau wordt nu gewerkt aan een Privacy verordening.

8

Privacy – OECD principles in de Wbp1. Limitering van het verzamelen van gegevens (niet meer dan

nodig).2. Gegevenskwaliteit gegevens moeten relevant zijn voor het

doel (artikel 11 Wbp).3. Doelbinding. Doel van het verzamelen van gegevens moet

vooraf aan verzamelen vastgesteld worden. Tijdens verzamelen mag niet van het doel afgeweken worden (artikel 7 Wbp)

4. Limitering van het gebruik van gegevens (geen gebruik buiten doel, tenzij toestemming van de betrokkene of op andere grond (artikel 8, 9 Wbp)

5. Beveiliging tegen verlies, ongeautoriseerde toegang, vernietiging, wijziging of openbaarmaking (artikel 13 Wbp).

6. Transparantie over gegevensverwerking.7. Rechten van betrokkenen.8. Verantwoording (voor compliance met de principles)

OECD: Organisation for Economic Cooperation and Development

9

Wet bescherming persoonsgegevensCentrale begrippen (1)

10

Persoonsgegeven:‘Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 1, sub a Wbp)

1. Hoe worden gegevens gebruikt?2. Aard gegevens (kenmerkend?) en mogelijkheden tot

identificatie? Pseudonimiseren? Anonimiseren?

Verwerking van persoonsgegevens:‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)

Wet bescherming persoonsgegevensCentrale begrippen (2)

11

Verantwoordelijke:‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 1, sub d Wbp)

Bewerker:‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp)

Betrokkene:‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)

Wet bescherming persoonsgegevensCentrale begrippen (3)

Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’

1. In vrijheid verstrekt?2. Betrekking op specifieke gegevensverwerking

(bepaalbaarheidsvereiste)?3. Beschikt betrokkene over noodzakelijke informatie om tot

oordeel te komen?

Ondubbelzinnige toestemming (artikel 8, sub a Wbp)Bewijslast voor verantwoordelijke:4. Bewijzen dat toestemming is verleend;5. Waarvoor toestemming is verleend.! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast!

12

Persoonsgegevens betreffende iemands gezondheidPersoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens.

Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp.

Het verbod is niet van toepassing als de verwerking geschiedt door:

• Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en

• de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG)

• Ondubbelzinnige toestemming is gegeven door de betrokkene.13

Bewaren van persoonsgegevens

WbpPersoonsgegevens mogen niet langer dan noodzakelijk bewaard worden in een vorm die het mogelijk maakt de betrokkene te identificeren (artikel 10, eerste lid, Wbp).

Wet op de geneeskundige behandelingsovereenkomst – WGBO(artikel 7:446 – 7:468 Burgerlijk Wetboek)De hulpverlener moet op grond van artikel 7:454 BW een dossier inrichten met betrekking tot de behandeling van een patient.

De bewaarplicht op grond van de WGBO is 15 jaar (artikel 7:454, derde lid BW)

14

Beveiliging

Passende technische en organisatorische maatregelen zijn vereist om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking (artikel 13 Wbp).

Beveiliging van bijzondere persoonsgegevens? NEN 7510.

Denk ook aan Social Engineering!

15

16

Rechten van de betrokkene

• Recht op inzage (artikel 35 Wbp en WGBO)

• Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp).

• Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden.

17

Verplichtingen voor de verantwoordelijke• Informatieplicht betrokkene (artikel 33 en 34 Wbp)

• Betrokkenen de mogelijkheid geven hun rechten uit te oefenen

• Beveiligingsplicht

• Meldingsplicht (melden van gegevensverwerking bij het College bescherming persoonsgegevens)

18

College bescherming persoonsgegevens

Taken College bescherming persoonsgegevens (CBP)

• Toezicht houden op de naleving van de Wbp • Handhavend optreden door het opleggen van bestuurlijke

boetes, dwangsommen of het toepassen van bestuursdwang (artikel 65 e.v. Wbp)

• De Algemene wet bestuursrecht (Awb) is van toepassing op handhaving door het CBP. Tegen besluiten staat bezwaar en beroep open bij de bestuursrechter.

• Advisering

19

Persoonsgegevens delen met derden• Buiten EU: passend beschermingsniveau vereist (artikel 76

Wbp), bijvoorbeeld EU-US safe harbour framework• Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige

toestemming en via een vergunning van de minister van justitie)

Safe Harbour - Zelfcertificering door bedrijven.- Heeft alleen betrekking op de overdracht van de EU naar een

andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker.

- Op grond van artikel 49 Wbp zijn de verantwoordelijke en de bewerker aansprakelijk in geval van non-compliance.

Zie verder: http://europa.eu/rapid/press-release_IP-13-1166_en.htm

20

Big data in de gezondheidszorg

• Jaarverslag CBP 2013: http://www.cbpweb.nl/Pages/jv_2013.aspx • EU: https://ec.europa.eu/digital-agenda/en/making-big-data-work-europe• http://europa.eu/rapid/press-release_MEMO-13-965_en.htm

21

Big data in de gezondheidszorg

22

Big data in de gezondheidszorg

23

Big data - uitdagingen

• Ondubbelzinnige toestemming vs. Doelbinding

• Het recht van de betrokkene om toestemming in te trekken

• Het recht van betrokkene om verwijdering van gegevens te eisen

Nieuwe Privacy Verordening http://goo.gl/WDUZ2 • Dezelfde regels in hele EU• Toestemming kan altijd worden ingetrokken, recht om vergeten

te worden• Data portability• Beperkingen ten aanzien van ‘profiling’• Speciale toestemming verwerking genetische data: schriftelijk

12 maart 2014, EP stemt in met voorstel Verordening:http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_dp_plenary_vote_140312_en.pdf

24

Smart apps • Opinie van de Groep Gegevensbescherming artikel 29 – WP 202• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van

toepassing (artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat)

Gegevensverwerking door apps• Ondubbelzinnige toestemming voor verwerking ontbreekt vaak• Gebrek aan transparantie over de verwerking van

persoonsgegevens• Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde

verwerking)• Maximale gegevensverzameling• Fragmentatie verantwoordelijkheden door groot aantal spelers:

App-ontwikkelaars – privacy by designApp-eigenaarsApp-winkelsFabrikanten van besturingssystemenDerden die betrokken zijn bij verzameling gegevens 25

Smart apps

Welke persoonsgegevens?• Locatie• Contacten• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)• Identiteit betrokkene• Naam telefoon ‘iPhone van Sofie van der Meulen’• Creditcard- en betalingsgegevens• Registeren van gesprekken, sms-berichten of instant messaging• Browsergeschiedenis• E-mail• Inloggegevens voor diensten op internet• Foto’s en video’s• Biometrische informatie (bijv. gezichtsherkenning,

vingerafdrukken)

26

Smart apps – compliance in de praktijk• Toestemming voorafgaand aan installatie en verwerking.

Vrije wilsuitingKnoppen ‘accepteren’ en ‘weigeren’NIET: ‘ik ga akkoord’

SpecifiekMogelijkheid om apart akkoord te gaan met specifieke verwerking per functie van de app.NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te gaan met lange lijst voorwaarden

GeïnformeerdWie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke rechten voor betrokkene

• DoelbindingGeen tussentijdse wijziging van verwerkingsdoelen zonder ondubbelzinnige toestemming

27

Handige links

WP 29 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

CBPwww.cbpweb.nl

EU e-Healthhttp://ec.europa.eu/health/ehealth/portal/index_nl.htm

28

Sofie van der MeulenAxon AdvocatenPiet Heinkade 1831019 HC Amsterdam

+31 88 650 6500+31 6 53 44 05 67sofie.vandermeulen@axonadvocaten.nl

www.foodhealthlegal.com @FoodHealthLegal