Symposium Flanders’ Care · 2017. 5. 11. · TEL: 0494/56.52.12 | WEBSITE: | BE 0669.489.941...
Transcript of Symposium Flanders’ Care · 2017. 5. 11. · TEL: 0494/56.52.12 | WEBSITE: | BE 0669.489.941...
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Symposium Flanders’ CareGegevens delen in de zorg
= betere zorg
Impact van de Algemene Verordening Gegevensbescherming
Enkele praktische aspecten
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Voorstelling
Dirk De Bot
• Licentiaat (KUL 1988) en doctor in de rechten (VUB 2015)
• Ervaring als advocaat en bedrijfsjurist
• Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking
• Vrij wetenschappelijk medewerker LSTS (VUB)
• Expert bij de CBPL tot augustus 2015 (opvolging AVG)
• Extern lid Sectoraal Comité Federale Overheid
• Zaakvoerder/consultant DPS4U bvba
www.dps4u.be voor overzicht diensten en publicaties
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Keuze voor praktische aspecten
• Voorkeur voor een meer praktische toelichting
• Welke aspecten van de AVG zijn van belang voor de praktijk ?
• Wat moeten en kunnen zorginstellingen doen om hier rekening mee te houden?
– Praktische richtlijnen
– Actie- of knelpunten die om verduidelijking vragen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Schema
Inleiding
1. Beroepsgeheim en de AVG
2. Verwerking gezondheidsgegevens algemeen
3. Inzage in gezondheidsgegevens – samenloop met Wet Patiëntenrechten
4. Informatie – wat doen
5. Inzage in gegevens – afwijkingen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Schema/2
6. Wat met de zorginspectie (en/of andere inspectiediensten)?
7. Beroep op verwerker
8. Beveiligingsmaatregelen
9. Relatie veiligheidsconsulent – DPO
Conclusies
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Inleiding
Sleutelbegrip voor verantwoordelijken in AVG is “accountability”
• Accountability = verantwoordingsplicht
• Omvat twee aspecten
– Verantwoordelijkheid nemen
– Verantwoording geven
• Houdt verband met de op risico’s gebaseerde benadering of aanpak (risk based approach)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Inleiding/2
• Wat moet, kan en mag is afhankelijk van de concrete (risico’s) omstandigheden
• Dé zorg bestaat niet
• Eerder een complex geheel van diverse concrete realiteiten, met een zelfde generieke doelstelling
• Gevolg - geen one-size-fits-all oplossingen
• Context, context en context!
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Beroepsgeheim en AVG
Hebben niet hetzelfde voorwerp
• Enkel overlapping waar het gaat om mededeling van (persoons)gegevens aan derden – fase van uitvoer
• Beroepsgeheim – sanctie bij opzettelijke schending
• Gegevensbescherming – sanctie is mogelijk bij onopzettelijke schending - nalatigheid
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
InvoerVer-wer-king
Uitvoer
1. Beroepsgeheim en AVG/2
Schema – Proces van gegevensverwerking
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
1. Beroepsgeheim en AVG/3
• Niet voldoende dat er een beroepsgeheim is
• Ook de interne toegang en raadpleging moeten worden geregeld
– Toegangs- en gebruikersbeheer
– Logging van toegangen
– Op basis van “need to know”
• Onrechtmatige toegang = beveiligingsinbreuk
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Verwerking gezondheidsgegevens
Gezondheidsgegevens
• Wordt (te?) ruim gedefinieerd
– Omvatten ook administratieve gegevens
– Eerder rekening houden met context?
• Vermelding “koorts” in logboek
• Principieel verwerkingsverbod, met heel wat uitzonderingen die voldoende (moeten) zijn voor de zorg
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
2. Verwerking gezondheidsgegevens/2
Vraag bij regeling in AVG
• Mogelijk bijzondere voorwaarden, waaronder beperkingen, te handhaven of in te voeren
– Artikel 9, lid 4 AVG
• Wat met huidig stelsel?
– tussenkomst beroepsbeoefenaar gezondheidszorg
– Toestemming moet schriftelijk zijn
– Bijzondere voorwaarden bij verwerking
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Inzage gezondheidsgegevens
Huidige regeling
• Als toepassing wet patiëntenrechten (WPR) –voorrang voor regeling uit artikel 9, §2 WPR
– Uitsluiting persoonlijke notities
– Rechtstreeks of via vertrouwenspersoon
• Als geen toepassing WPR, regeling uit WVP
– Geen beperking
– Rechtstreeks of tussenkomst beroepsbeoefenaar
op verzoek verantwoordelijke
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
3. Inzage gezondheidsgegevens/2
• AVG
– Geen uitzonderingen voor gezondheidsgegevens
• Conflict van grondrechten
– Voorrang voor recht uit Europese verordening?
– In elk geval, niet zeker dat WPR voorgaat
• Hoe oplossen?
– Via toepassing artikel 23 AVG – beperking reikwijdte – bepalen dat WPR geldt
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Recht op informatie
AVG – recht op en plicht tot informatie
• Zowel bij rechtstreekse als onrechtstreekse verkrijging
• Modaliteiten zijn verwarrend
– Informatie moet beknopt, transparant en begrijpelijk zijn
– Artikel 13 en 14 AVG - lange opsomming van mee te delen inlichtingen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
4. Recht op informatie/2
Hoe verzoenen?
• Toepassing van “short & layered approach”
– Beperkte clausules met verwijzingen naar uitgebreidere beleidsdocumenten
– Deels in (dienstverlenings)overeenkomsten of te ondertekenen documenten
– Deels in “reglementen” (vb. ziekenhuizen)
• Voordeel – betrokkene is al op de hoogte –geen verdere informatie meer vereist
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
5. Recht op inzage
Vaststelling – diverse afwijkingen bij inzage
• Geen inzage in gegevens van derden die staan op vertrouwelijkheid
Probleem – AVG voorziet deze uitzonderingen niet
• AVG is Europese verordening – heeft voorrang boven andere (nationale) wetgeving –rechtstreeks toepasselijk en directe werking
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
5. Recht op inzage/2
Oplossing
• Afwijkingen op basis van artikel 23 AVG
– Mogelijk om van regeling inzake rechten betrokkene af te wijken
• Vereisen regelgeving in toepassing van artikel 23 AVG – gedetailleerde(re) regeling
• Vooral aangeven waarom afwijking noodzakelijk is en wat waarborgen zijn
– Uitoefening bij toezichthouder – andere waarborgen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
6. Inspectiediensten
• Controle op naleving regelgeving (erkennings-of subsidievoorwaarden instellingen, …)
• Vereist inspectie en/of audit
• Bij inspectie en/of audit ook verwerking van persoonsgegevens
– Over gebruikers/bewoners/cliënten
– Over werknemers/begeleiders/…
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
6. Inspectiediensten/2
• Niet altijd aangewezen om betrokkenen onmiddellijk te informeren
– Kan opportuniteit of verloop inspectie/controle in het gedrang brengen
• Voor implementatie – cruciaal om te weten of inspectiediensten vallen onder AVG dan wel onder Richtlijn Politie & Justitie
– Taken van administratieve politie
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
7. Beroep op verwerker
Wanneer?
• Ondersteuning door informaticadiensten-leverancier
• Beveiliging van toepassingen en programma’s
• Gebruik van cloud oplossing (cloud service provider = verwerker)
• …
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
7. Beroep op verwerker/2
Wat doen?
• Keuze van “goede” verwerker
– Vereist screening beveiligingsbeleid verwerker
• Via “vendor assessment”
• Sluiten van “verwerkersovereenkomst”
– Met inhoud zoals opgenomen in AVG
– Mogelijkheid tot uitwerking van model door Europese Commissie
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
8. Veiligheidsmaatregelen
Passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico
• Rekening houden met
– stand van techniek
– Uitvoeringskosten
– Omvang, context en doeleinden verwerking
– Risico’s
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
8. Veiligheidsmaatregelen/2
• Moeten niet altijd complex of ingewikkeld zijn
– Afdruk- of printbeleid
• Wat om te verhinderen dat documenten achter blijven op printer of blijven rondslingeren
– “Locken” PC als niet gebruikt gedurende bepaalde periode
– Maatregelen die toegang tot archief beperken (afgesloten archief met toegang door beperkt aantal personen)
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
9. Veiligheidsconsulent vs. DPO
AVG – verplichting tot aanstelling DPO
• = Data Protection Officer
• = Functionaris voor gegevensbescherming (FGB)
Verplichting geldt voor publieke sector
• overheidsinstanties en –organen
• alle instellingen in de zorg?
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
9. Veiligheidsconsulent vs. DPO/2
Zorginstellingen
• Hebben al verplichting om veiligheidsconsulent aan te stellen
– Decreet gegevensdeling
• Praktisch relevante vraag
– Wat is relatie tussen beide figuren
• Is veiligheidsconsulent = DPO
• Of is er een onderscheid
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
9. Veiligheidsconsulent vs. DPO/3Veiligheidsconsulent DPO
Taken/opdrachten Adviserend Advies
Stimulerend Informatie / Sensibilisering
Documenterend Mogelijkheid tot bijhouden register
Controlerend Toezicht
Contactpunt betrokkenen en toezichthoudende autoriteit
Positie Intern of extern Intern of extern
Aantal Individueel of team Individueel of team
Voor één of meerdere opdrachtgevers Voor één of meerdere verantwoordelijken
Vereisten Kennis informatica-omgeving Deskundig op gebied van wetgeving
Kennis informatieveiligheid Deskundig op gebied van praktijk inzake
gegevensbescherming
Geen belangenconflict Geen belangenconflict
Voldoende tijd
Statuut Onafhankelijk Geen instructies
Ontslagbescherming Ontslagbescherming
Vertrouwelijkheid Geheimhouding of vertrouwelijkheid
Rechtstreeks functioneel gezag verantwoordelijke dagelijks
bestuur
Rechtstreeks verslag aan hoogste leidinggevende
verwerkingsverantwoordelijke
Samenwerking met andere diensten
Manier van werken Gemotiveerd en schriftelijk advies bij ernstige risico’s
Reikwijdte Informatieveiligheid Toezicht op interne naleving AVG
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
9. Veiligheidsconsulent vs. DPO/4
• Conclusie
– Grotendeels zelfde taken, positie en statuut
– Belangrijkste verschil – reikwijdte
• Informatieveiligheid versus toepassing regelgeving inzake bescherming persoonsgegevens
– Mogelijkheid voor veiligheidsconsulent om ook DPO te zijn, mits bijkomende opleiding
– Ideaal – Data Protection Office – multidisciplinair team – eventueel ad hoc
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusies
AVG = verderzetting beginselen uit WVP
• Met enkele nieuwe rechten
• Maar vooral nieuwe verplichtingen
Nieuwe verplichtingen
• Zijn geen grote verrassing
• Zijn niet onoverkomelijk in de praktijk
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusies/2
Pleidooi om rekening te houden met context
• Niet alle verplichtingen voor iedereen toepassen op zelfde manier
– Voorbeeld - gebruik maken van cloud door kleinere zorginstelling met vooral ambulante dienstverlening ≠ cloud door ziekenhuizen in regionaal verband
• Toepassing gezond verstand
– Initiatieven binnen Vlaanderen?
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Conclusies/3
Aandachtspunten voor regelgever
• Toepasselijke regeling voor inspectiediensten
• Wat met regeling gezondheidsgegevens
– Behoud huidige regeling of aanpassing
• Inzage gezondheidsgegevens
– “samenloop” WPR en WVP
• Afwijking bepaalde rechten in specifieke gevallen
TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941
Vragen?