Symposium Flanders’ Care · 2017. 5. 11. · TEL: 0494/56.52.12 | WEBSITE: | BE 0669.489.941...

TEL: 0494/56.52.12 | WEBSITE: www.dps4u.be | BE 0669.489.941

Symposium Flanders’ CareGegevens delen in de zorg

= betere zorg

Impact van de Algemene Verordening Gegevensbescherming

Enkele praktische aspecten


Voorstelling

Dirk De Bot

• Licentiaat (KUL 1988) en doctor in de rechten (VUB 2015)

• Ervaring als advocaat en bedrijfsjurist

• Sinds 1993 actief op het vlak van de juridische aspecten van gegevensverwerking

• Vrij wetenschappelijk medewerker LSTS (VUB)

• Expert bij de CBPL tot augustus 2015 (opvolging AVG)

• Extern lid Sectoraal Comité Federale Overheid

• Zaakvoerder/consultant DPS4U bvba

www.dps4u.be voor overzicht diensten en publicaties

http://www.dps4u.be/


Keuze voor praktische aspecten

• Voorkeur voor een meer praktische toelichting

• Welke aspecten van de AVG zijn van belang voor de praktijk ?

• Wat moeten en kunnen zorginstellingen doen om hier rekening mee te houden?

– Praktische richtlijnen

– Actie- of knelpunten die om verduidelijking vragen


Schema

Inleiding

1. Beroepsgeheim en de AVG

2. Verwerking gezondheidsgegevens algemeen

3. Inzage in gezondheidsgegevens – samenloop met Wet Patiëntenrechten

4. Informatie – wat doen

5. Inzage in gegevens – afwijkingen


Schema/2

6. Wat met de zorginspectie (en/of andere inspectiediensten)?

7. Beroep op verwerker

8. Beveiligingsmaatregelen

9. Relatie veiligheidsconsulent – DPO

Conclusies


Inleiding

Sleutelbegrip voor verantwoordelijken in AVG is “accountability”

• Accountability = verantwoordingsplicht

• Omvat twee aspecten

– Verantwoordelijkheid nemen

– Verantwoording geven

• Houdt verband met de op risico’s gebaseerde benadering of aanpak (risk based approach)


Inleiding/2

• Wat moet, kan en mag is afhankelijk van de concrete (risico’s) omstandigheden

• Dé zorg bestaat niet

• Eerder een complex geheel van diverse concrete realiteiten, met een zelfde generieke doelstelling

• Gevolg - geen one-size-fits-all oplossingen

• Context, context en context!


1. Beroepsgeheim en AVG

Hebben niet hetzelfde voorwerp

• Enkel overlapping waar het gaat om mededeling van (persoons)gegevens aan derden – fase van uitvoer

• Beroepsgeheim – sanctie bij opzettelijke schending

• Gegevensbescherming – sanctie is mogelijk bij onopzettelijke schending - nalatigheid


InvoerVer-wer-king

Uitvoer

1. Beroepsgeheim en AVG/2

Schema – Proces van gegevensverwerking


1. Beroepsgeheim en AVG/3

• Niet voldoende dat er een beroepsgeheim is

• Ook de interne toegang en raadpleging moeten worden geregeld

– Toegangs- en gebruikersbeheer

– Logging van toegangen

– Op basis van “need to know”

• Onrechtmatige toegang = beveiligingsinbreuk


2. Verwerking gezondheidsgegevens

Gezondheidsgegevens

• Wordt (te?) ruim gedefinieerd

– Omvatten ook administratieve gegevens

– Eerder rekening houden met context?

• Vermelding “koorts” in logboek

• Principieel verwerkingsverbod, met heel wat uitzonderingen die voldoende (moeten) zijn voor de zorg


2. Verwerking gezondheidsgegevens/2

Vraag bij regeling in AVG

• Mogelijk bijzondere voorwaarden, waaronder beperkingen, te handhaven of in te voeren

– Artikel 9, lid 4 AVG

• Wat met huidig stelsel?

– tussenkomst beroepsbeoefenaar gezondheidszorg

– Toestemming moet schriftelijk zijn

– Bijzondere voorwaarden bij verwerking


3. Inzage gezondheidsgegevens

Huidige regeling

• Als toepassing wet patiëntenrechten (WPR) –voorrang voor regeling uit artikel 9, §2 WPR

– Uitsluiting persoonlijke notities

– Rechtstreeks of via vertrouwenspersoon

• Als geen toepassing WPR, regeling uit WVP

– Geen beperking

– Rechtstreeks of tussenkomst beroepsbeoefenaar

op verzoek verantwoordelijke


3. Inzage gezondheidsgegevens/2

• AVG

– Geen uitzonderingen voor gezondheidsgegevens

• Conflict van grondrechten

– Voorrang voor recht uit Europese verordening?

– In elk geval, niet zeker dat WPR voorgaat

• Hoe oplossen?

– Via toepassing artikel 23 AVG – beperking reikwijdte – bepalen dat WPR geldt


4. Recht op informatie

AVG – recht op en plicht tot informatie

• Zowel bij rechtstreekse als onrechtstreekse verkrijging

• Modaliteiten zijn verwarrend

– Informatie moet beknopt, transparant en begrijpelijk zijn

– Artikel 13 en 14 AVG - lange opsomming van mee te delen inlichtingen


4. Recht op informatie/2

Hoe verzoenen?

• Toepassing van “short & layered approach”

– Beperkte clausules met verwijzingen naar uitgebreidere beleidsdocumenten

– Deels in (dienstverlenings)overeenkomsten of te ondertekenen documenten

– Deels in “reglementen” (vb. ziekenhuizen)

• Voordeel – betrokkene is al op de hoogte –geen verdere informatie meer vereist


5. Recht op inzage

Vaststelling – diverse afwijkingen bij inzage

• Geen inzage in gegevens van derden die staan op vertrouwelijkheid

Probleem – AVG voorziet deze uitzonderingen niet

• AVG is Europese verordening – heeft voorrang boven andere (nationale) wetgeving –rechtstreeks toepasselijk en directe werking


5. Recht op inzage/2

Oplossing

• Afwijkingen op basis van artikel 23 AVG

– Mogelijk om van regeling inzake rechten betrokkene af te wijken

• Vereisen regelgeving in toepassing van artikel 23 AVG – gedetailleerde(re) regeling

• Vooral aangeven waarom afwijking noodzakelijk is en wat waarborgen zijn

– Uitoefening bij toezichthouder – andere waarborgen


6. Inspectiediensten

• Controle op naleving regelgeving (erkennings-of subsidievoorwaarden instellingen, …)

• Vereist inspectie en/of audit

• Bij inspectie en/of audit ook verwerking van persoonsgegevens

– Over gebruikers/bewoners/cliënten

– Over werknemers/begeleiders/…


6. Inspectiediensten/2

• Niet altijd aangewezen om betrokkenen onmiddellijk te informeren

– Kan opportuniteit of verloop inspectie/controle in het gedrang brengen

• Voor implementatie – cruciaal om te weten of inspectiediensten vallen onder AVG dan wel onder Richtlijn Politie & Justitie

– Taken van administratieve politie


7. Beroep op verwerker

Wanneer?

• Ondersteuning door informaticadiensten-leverancier

• Beveiliging van toepassingen en programma’s

• Gebruik van cloud oplossing (cloud service provider = verwerker)

• …


7. Beroep op verwerker/2

Wat doen?

• Keuze van “goede” verwerker

– Vereist screening beveiligingsbeleid verwerker

• Via “vendor assessment”

• Sluiten van “verwerkersovereenkomst”

– Met inhoud zoals opgenomen in AVG

– Mogelijkheid tot uitwerking van model door Europese Commissie


8. Veiligheidsmaatregelen

Passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico

• Rekening houden met

– stand van techniek

– Uitvoeringskosten

– Omvang, context en doeleinden verwerking

– Risico’s


8. Veiligheidsmaatregelen/2

• Moeten niet altijd complex of ingewikkeld zijn

– Afdruk- of printbeleid

• Wat om te verhinderen dat documenten achter blijven op printer of blijven rondslingeren

– “Locken” PC als niet gebruikt gedurende bepaalde periode

– Maatregelen die toegang tot archief beperken (afgesloten archief met toegang door beperkt aantal personen)


9. Veiligheidsconsulent vs. DPO

AVG – verplichting tot aanstelling DPO

• = Data Protection Officer

• = Functionaris voor gegevensbescherming (FGB)

Verplichting geldt voor publieke sector

• overheidsinstanties en –organen

• alle instellingen in de zorg?


9. Veiligheidsconsulent vs. DPO/2

Zorginstellingen

• Hebben al verplichting om veiligheidsconsulent aan te stellen

– Decreet gegevensdeling

• Praktisch relevante vraag

– Wat is relatie tussen beide figuren

• Is veiligheidsconsulent = DPO

• Of is er een onderscheid


9. Veiligheidsconsulent vs. DPO/3Veiligheidsconsulent DPO

Taken/opdrachten Adviserend Advies

Stimulerend Informatie / Sensibilisering

Documenterend Mogelijkheid tot bijhouden register

Controlerend Toezicht

Contactpunt betrokkenen en toezichthoudende autoriteit

Positie Intern of extern Intern of extern

Aantal Individueel of team Individueel of team

Voor één of meerdere opdrachtgevers Voor één of meerdere verantwoordelijken

Vereisten Kennis informatica-omgeving Deskundig op gebied van wetgeving

Kennis informatieveiligheid Deskundig op gebied van praktijk inzake

gegevensbescherming

Geen belangenconflict Geen belangenconflict

Voldoende tijd

Statuut Onafhankelijk Geen instructies

Ontslagbescherming Ontslagbescherming

Vertrouwelijkheid Geheimhouding of vertrouwelijkheid

Rechtstreeks functioneel gezag verantwoordelijke dagelijks

bestuur

Rechtstreeks verslag aan hoogste leidinggevende

verwerkingsverantwoordelijke

Samenwerking met andere diensten

Manier van werken Gemotiveerd en schriftelijk advies bij ernstige risico’s

Reikwijdte Informatieveiligheid Toezicht op interne naleving AVG


9. Veiligheidsconsulent vs. DPO/4

• Conclusie

– Grotendeels zelfde taken, positie en statuut

– Belangrijkste verschil – reikwijdte

• Informatieveiligheid versus toepassing regelgeving inzake bescherming persoonsgegevens

– Mogelijkheid voor veiligheidsconsulent om ook DPO te zijn, mits bijkomende opleiding

– Ideaal – Data Protection Office – multidisciplinair team – eventueel ad hoc


Conclusies

AVG = verderzetting beginselen uit WVP

• Met enkele nieuwe rechten

• Maar vooral nieuwe verplichtingen

Nieuwe verplichtingen

• Zijn geen grote verrassing

• Zijn niet onoverkomelijk in de praktijk


Conclusies/2

Pleidooi om rekening te houden met context

• Niet alle verplichtingen voor iedereen toepassen op zelfde manier

– Voorbeeld - gebruik maken van cloud door kleinere zorginstelling met vooral ambulante dienstverlening ≠ cloud door ziekenhuizen in regionaal verband

• Toepassing gezond verstand

– Initiatieven binnen Vlaanderen?


Conclusies/3

Aandachtspunten voor regelgever

• Toepasselijke regeling voor inspectiediensten

• Wat met regeling gezondheidsgegevens

– Behoud huidige regeling of aanpassing

• Inzage gezondheidsgegevens

– “samenloop” WPR en WVP

• Afwijking bepaalde rechten in specifieke gevallen


Vragen?

Symposium Flanders’ Care · 2017. 5. 11. · TEL: 0494/56.52.12 | WEBSITE: | BE 0669.489.941...

Documents

Transcript of Symposium Flanders’ Care · 2017. 5. 11. · TEL: 0494/56.52.12 | WEBSITE: | BE 0669.489.941...