De Wet bescherming persoonsgegevens

advertisement
PRIVACY IN DE
GEZONDHEIDSZORG
Privacy in de gezondheidszorg
19 maart 2014
Sofie van der Meulen
www.axonlawyers.com
Agenda
• Privacy
• Privacy in Nederland: de Wet bescherming persoonsgegevens in
de gezondheidszorg
• Big data, apps & privacy
• Aankomende wijzigingen vanuit de EU Privacy Verordening
• Afsluiting
2
Wat is privacy?
• Lichamelijke privacy
Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.
• Relationele privacy
Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim.
• Ruimtelijke privacy
Artikel 12 Grondwet: het binnentreden van een woning.
• Informationele privacy
Artikel 8 Handvest van de Grondrechten van de Europese Unie:
‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde
doeleinden en met toestemming van de betrokkene of op basis van een
andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft
recht van inzage in de over hem verzamelde gegevens en op rectificatie
daarvan.’
3
Artikel 10 Grondwet
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen,
recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in
verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op
kennisneming van over hen vastgelegde gegevens en van het gebruik dat
daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
4
Privacy in het middelpunt van de
belangstelling
• Artikel Guardian over het uploaden patiëntgegevens naar Google
• De NSA kijkt met u mee
• AIVD deelde data telefoonverkeer met VS
5
Assange & Snowden
Edward Snowden lekte in juni 2013 informatie over
spionageactiviteiten door de NSA. NSA gebruikt het
programma PRISM voor het in de gaten houden van
wereldwijde online communicatie.
TED talk Edward Snowden: http://goo.gl/Z5gbEZ
Julian Assange richtte in 2006 klokkenluiderswebsite WikiLeaks op. Via
deze website kunnen officiële documenten gelekt worden.
6
Bradley E. Manning
7
Privacy
• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens
en betreffende het vrije verkeer van die gegevens.
In Nederland geïmplementeerd in:
• De Wet bescherming persoonsgegevens (WBP)
De WBP legt verplichtingen op aan verwerkers van
persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is
toezicht op de verwerking van persoonsgegevens geregeld.
• Op Europees niveau wordt nu gewerkt aan een Privacy
verordening.
8
Privacy – OECD principles in de
Wbp
1. Limitering van het verzamelen van gegevens (niet meer dan
nodig).
2. Gegevenskwaliteit gegevens moeten relevant zijn voor het
doel (artikel 11 Wbp).
3. Doelbinding. Doel van het verzamelen van gegevens moet
vooraf aan verzamelen vastgesteld worden. Tijdens verzamelen
mag niet van het doel afgeweken worden (artikel 7 Wbp)
4. Limitering van het gebruik van gegevens (geen gebruik
buiten doel, tenzij toestemming van de betrokkene of op andere
grond (artikel 8, 9 Wbp)
5. Beveiliging tegen verlies, ongeautoriseerde toegang,
vernietiging, wijziging of openbaarmaking (artikel 13 Wbp).
6. Transparantie over gegevensverwerking.
7. Rechten van betrokkenen.
8. Verantwoording (voor compliance met de principles)
9
OECD: Organisation for Economic Cooperation and Development
Wet bescherming persoonsgegevens
Centrale begrippen (1)
Persoonsgegeven:
‘Elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon’ (artikel 1, sub a Wbp)
1. Hoe worden gegevens gebruikt?
2. Aard gegevens (kenmerkend?) en mogelijkheden tot
identificatie? Pseudonimiseren? Anonimiseren?
Verwerking van persoonsgegevens:
‘Elke handeling of elk geheel van van handelingen met betrekking
tot persoonsgegevens, waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b
Wbp)
10
Wet bescherming persoonsgegevens
Centrale begrippen (2)
Verantwoordelijke:
‘de natuurlijke persoon, rechtspersoon of ieder ander die of het
bestuursorgaan dat, alleen of tezamen met anderen, het doel van
en de middelen voor de verwerking van persoonsgegevens
vaststelt’ (artikel 1, sub d Wbp)
Bewerker:
‘degene die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te
zijn onderworpen’ (artikel 1, sub e Wbp)
Betrokkene:
‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1,
sub f Wbp)
11
Wet bescherming persoonsgegevens
Centrale begrippen (3)
Toestemming van de betrokkene:
‘elke vrije, specifieke en op informatie berustende wilsuiting
waarmee de betrokkene aanvaardt dat hem betreffende
persoonsgegevens worden verwerkt’
1. In vrijheid verstrekt?
2. Betrekking op specifieke gegevensverwerking
(bepaalbaarheidsvereiste)?
3. Beschikt betrokkene over noodzakelijke informatie om tot
oordeel te komen?
Ondubbelzinnige toestemming (artikel 8, sub a Wbp)
Bewijslast voor verantwoordelijke:
1. Bewijzen dat toestemming is verleend;
2. Waarvoor toestemming is verleend.
! Leg verstrekte informatie, doel verwerking en toestemming
schriftelijk vast!
12
Persoonsgegevens betreffende
iemands gezondheid
Persoonsgegevens betreffende iemands gezondheid zijn
bijzondere persoonsgegevens.
Verwerking van bijzondere persoonsgegevens is verboden in artikel
16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp.
Het verbod is niet van toepassing als de verwerking geschiedt door:
• Hulpverleners, instellingen of voorzieningen voor
gezondheidszorg of maatschappelijke dienstverlening voor zover
dat met het oog op een goede behandeling of verzorging van de
betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en
• de verwerker onderworpen is aan een beroepsgeheim (Wet op
de Beroepen in de Individuele Gezondheidszorg, Wet BIG)
• Ondubbelzinnige toestemming is gegeven door de betrokkene.
13
Bewaren van persoonsgegevens
Wbp
Persoonsgegevens mogen niet langer dan noodzakelijk bewaard worden in
een vorm die het mogelijk maakt de betrokkene te identificeren (artikel 10,
eerste lid, Wbp).
Wet op de geneeskundige behandelingsovereenkomst – WGBO
(artikel 7:446 – 7:468 Burgerlijk Wetboek)
De hulpverlener moet op grond van artikel 7:454 BW een dossier inrichten
met betrekking tot de behandeling van een patient.
De bewaarplicht op grond van de WGBO is 15 jaar (artikel 7:454, derde lid
BW)
14
Beveiliging
Passende technische en organisatorische maatregelen zijn vereist
om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking (artikel 13 Wbp).
Beveiliging van bijzondere persoonsgegevens? NEN 7510.
Denk ook aan Social Engineering!
15
16
Rechten van de betrokkene
• Recht op inzage (artikel 35 Wbp en WGBO)
• Recht op verbetering, aanvulling, verwijdering en afscherming
(artikel 36 Wbp).
• Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt
aangetekend tegen direct-marketingdoeleinden moet het gebruik
door de organisatie direct beëindigd worden.
17
Verplichtingen voor de
verantwoordelijke
• Informatieplicht betrokkene (artikel 33 en 34 Wbp)
• Betrokkenen de mogelijkheid geven hun rechten uit te oefenen
• Beveiligingsplicht
• Meldingsplicht (melden van gegevensverwerking bij het College
bescherming persoonsgegevens)
18
College bescherming
persoonsgegevens
Taken College bescherming persoonsgegevens (CBP)
• Toezicht houden op de naleving van de Wbp
• Handhavend optreden door het opleggen van bestuurlijke
boetes, dwangsommen of het toepassen van bestuursdwang
(artikel 65 e.v. Wbp)
• De Algemene wet bestuursrecht (Awb) is van toepassing op
handhaving door het CBP. Tegen besluiten staat bezwaar en
beroep open bij de bestuursrechter.
• Advisering
19
Persoonsgegevens delen met
derden
• Buiten EU: passend beschermingsniveau vereist (artikel 76
Wbp), bijvoorbeeld EU-US safe harbour framework
• Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige
toestemming en via een vergunning van de minister van justitie)
Safe Harbour
- Zelfcertificering door bedrijven.
- Heeft alleen betrekking op de overdracht van de EU naar een
andere jurisdictie, niet op verdere compliance door de
verantwoordelijke of bewerker.
- Op grond van artikel 49 Wbp zijn de verantwoordelijke en de
bewerker aansprakelijk in geval van non-compliance.
Zie verder: http://europa.eu/rapid/press-release_IP-13-1166_en.htm
20
Big data in de gezondheidszorg
• Jaarverslag CBP 2013: http://www.cbpweb.nl/Pages/jv_2013.aspx
• EU: https://ec.europa.eu/digital-agenda/en/making-big-data-work-europe
• http://europa.eu/rapid/press-release_MEMO-13-965_en.htm
21
Big data in de gezondheidszorg
22
Big data in de gezondheidszorg
23
Big data - uitdagingen
• Ondubbelzinnige toestemming vs. Doelbinding
• Het recht van de betrokkene om toestemming in te trekken
• Het recht van betrokkene om verwijdering van gegevens te
eisen
Nieuwe Privacy Verordening http://goo.gl/WDUZ2
• Dezelfde regels in hele EU
• Toestemming kan altijd worden ingetrokken, recht om vergeten
te worden
• Data portability
• Beperkingen ten aanzien van ‘profiling’
• Speciale toestemming verwerking genetische data: schriftelijk
12 maart 2014, EP stemt in met voorstel Verordening:
http://ec.europa.eu/justice/dataprotection/files/factsheets/factsheet_dp_plenary_vote_140312_en.p
df
24
Smart apps
• Opinie van de Groep Gegevensbescherming artikel 29 – WP 202
• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing
(artikel 5, derde lid, toestemming nodig voor plaatsen en lezen
van alle informatie op apparaat)
Gegevensverwerking door apps
• Ondubbelzinnige toestemming voor verwerking ontbreekt vaak
• Gebrek aan transparantie over de verwerking van
persoonsgegevens
• Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde
verwerking)
• Maximale gegevensverzameling
• Fragmentatie verantwoordelijkheden door groot aantal spelers:
App-ontwikkelaars – privacy by design
App-eigenaars
App-winkels
Fabrikanten van besturingssystemen
Derden die betrokken zijn bij verzameling gegevens
25
Smart apps
Welke persoonsgegevens?
• Locatie
• Contacten
• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)
• Identiteit betrokkene
• Naam telefoon ‘iPhone van Sofie van der Meulen’
• Creditcard- en betalingsgegevens
• Registeren van gesprekken, sms-berichten of instant messaging
• Browsergeschiedenis
• E-mail
• Inloggegevens voor diensten op internet
• Foto’s en video’s
• Biometrische informatie (bijv. gezichtsherkenning,
vingerafdrukken)
26
Smart apps – compliance in de
praktijk
• Toestemming voorafgaand aan installatie en verwerking.
Vrije wilsuiting
Knoppen ‘accepteren’ en ‘weigeren’
NIET: ‘ik ga akkoord’
Specifiek
Mogelijkheid om apart akkoord te gaan met specifieke verwerking per
functie van de app.
NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te
gaan met lange lijst voorwaarden
Geïnformeerd
Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke
rechten voor betrokkene
• Doelbinding
Geen tussentijdse wijziging van verwerkingsdoelen zonder
ondubbelzinnige toestemming
27
Handige links
WP 29
http://ec.europa.eu/justice/data-protection/article29/documentation/opinion-recommendation/index_en.htm
CBP
www.cbpweb.nl
EU e-Health
http://ec.europa.eu/health/ehealth/portal/index_nl.htm
28
Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
[email protected]
www.foodhealthlegal.com
@FoodHealthLegal
Download