• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar
 

Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar

on

  • 741 views

Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?

Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.

Statistics

Views

Total Views
741
Views on SlideShare
738
Embed Views
3

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 3

http://www.almeredatacapital.nl 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminar Presentation Transcript

    • Big Data in de zorgBeroepsgeheim en privacywetgevingProf.mr. Jaap Sijmons Molengraaff Instituut voor Privaatrecht
    • Privacy in de zorg• Gevoelig thema!• Juridische status hoog• Extra zorgvuldigheid geboden• Zowel in juridische structuur als uitvoering Molengraaff Instituut voor Privaatrecht
    • Betekenis en doel beroepsgeheim• Betekenis • vertrouwelijk omgaan met informatie over/afkomstig van de patiënt • Sinds ‘Hippocrates’ (470-360 v.Chr)• Doel • algemeen belang: onbelemmerde toegang tot de gezondheidszorg • individueel belang: bescherming privacy patiënt (schaamte en kwetsbaarheid) Molengraaff Instituut voor Privaatrecht
    • ‘Confidentiality: a decrepit concept (?)’ (Mark Siegler, 1982)• 20ste eeuw: nieuwe zorg en verzekering• “Medical confidentiality no longer exists”• team-healthcare/third-party payment• 1982: nog vóór ICT-revolutie• Juridische reparatie: Wbp (EU)• EPD en DBC als voorbeelden• CBb 8 maart 2012, LJN BV8297• Algemeen ‘veiligheidslek’?
    • EPD – Big Data• Gegevensuitwisseling (‘EPD’) • Kwaliteit, doelmatigheid & veiligheid • Snelle toegang • Na landelijk EPD: VZVZ (Infrastructuur)• Van interne naar externe opslag • Big Data: opslag outsourcen • Idem beheer • Wetenschappelijke database? Molengraaff Instituut voor Privaatrecht
    • Wetgeving/ wettelijke bepalingeninzake privacybescherming• Internationaal • art. 8 EVRM (1950, Raad van Europa) • art. 8 Handvest van de Grondrechten (2000, Europese Unie) • Art. 16 Verdrag werking EU• Art. 10 Grondwet• Wet inzake de geneeskundige behandelingsovereenkomst (WGBO) • art. 7:457 BW (beroepsgeheim) • overige privacyrechten patiënt• Wet bescherming persoonsgegevens (Wbp) • Algemeen • artt. 16 en 21 (medische gegevens) Molengraaff Instituut voor Privaatrecht
    • Internationaal• Art. 8 EVRM: bescherming privacy • “Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en correspondentie.’’ • (maar: beperkingen zijn toegestaan mits bij wet geregeld en voor zover noodzakelijk in een democratische samenleving)• Art. 8 EU-Handvest v/d Grondrechten: bescherming persoonsgegevens • “Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. • (…) Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. • Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.’’• Art. 16 Verdrag werking EU: • “Een ieder heeft recht op bescherming van zijn persoonsgegevens” (lid 2: EP en Raad -> voorschriften) Molengraaff Instituut voor Privaatrecht
    • Internationaal: EU• Richtlijn 95/46/EG: • Harmoniseren bescherming persoonsgegevens • Vrij verkeer van persoonsgegevens • Nieuw ontwerp: COM (2012) 10• Ontwerp verordening: General data protection regulation (2012/0011) • Nodig vanwege ontwikkeling van internet en intensievere dataverkeer • ‘Right to be forgotten’ • Consent is steeds expliciet • ‘Right of data portability’ • Versterking positie nationale privacy-autoriteiten • Procesrecht nationale privacy-autoriteiten • Meer verantwoordelijkheid en aansprakelijkheid data verwerkers. • (zie inleiding mr. Kits). Molengraaff Instituut voor Privaatrecht
    • Art. 10 Grondwet• Art. 10 Gw: eerbiediging en bescherming persoonlijke levenssfeer • “Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. • De wet stelt regels (…) in verband met het vastleggen en verstrekken van persoonsgegevens. • De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.’’ Molengraaff Instituut voor Privaatrecht
    • Wettelijke regeling (1)• WGBO Art. 7:457 BW “1.Onverminderd het in artikel 448 lid 3, tweede volzin, bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht. 2.Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. 3.(…)” Molengraaff Instituut voor Privaatrecht
    • Wettelijke regeling (2)• Wet BIG Art. 88 BIG “Een ieder is verplicht geheimhouding in acht te nemen ten opzichte van al datgene wat hem bij het uitoefenen van zijn beroep op het gebied van de individuele gezondheidszorg als geheim is toevertrouwd, of wat daarbij als geheim te zijner kennis is gekomen of wat daarbij te zijner kennis is gekomen en waarvan hij het vertrouwelijke karakter moest begrijpen.”• WvS Art. 272 Sr “1. Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie. 2.Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt het slechts vervolgd op diens klacht.” Molengraaff Instituut voor Privaatrecht
    • Geheimhoudingsplicht: wat entegenover wie?• Wat? • toevertrouwd geheim (al dan niet geregistreerde data) • al hetgeen in kader van beroepsuitoefening is waargenomen (foto’s/video/bewaking/Eye Works)• Tegenover wie? • derden (uiteraard, maar wie zijn dat?) • familieleden • collega-hulpverleners, tenzij rechtstreeks bij de behandeling betrokken • andere ‘derden’: politie, OM, IGZ• Verschoning: voor rechter (straf/civiel)/delict• NB strafrechtelijk beslag (via Rechter-Commissaris) Molengraaff Instituut voor Privaatrecht
    • Geheimhoudingsplicht: wie?• Artsen en andere hulpverleners (afhankelijk van aard van hun beroep of ambt• Overigen rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken (bv. in ondersteunende functies): afgeleide zwijgplicht: assistent/secretaresse of ambtenaren ex 2:5 Awb.• Afgeleid: uit hoofde van de functie of contractueel: de hulpverlener schakelt derden in voor dienstverlening (ICT) met geheimhoudingsbeding. Molengraaff Instituut voor Privaatrecht
    • Wet bescherming persoonsgegevens (1)• Achtergrond (implementatie EG-privacyrichtlijn 95/46/EG)• Voorwaarden gegevensverwerking• Doelgebondenheid• Recht van informatie en correctierecht• Melding bij/toezicht door College Bescherming Persoonsgegevens (CBP)• Gedragscodes• Functionaris (houdt intern toezicht naleving wet) Molengraaff Instituut voor Privaatrecht
    • Wet bescherming persoonsgegevens (2)Art. 8 Wbp: eisen verwerking persoonsgegevens: • Met ondubbelzinnige toestemming • Bij overeenkomst • Noodzakelijk krachtens wettelijk voorschrift • Vb: art. 53.1 wet op de Jeugdzorg • Vitaal belangArt. 9, lid 4 Wbp: verwerking geblokkeerd door geheimhoudingsplicht • ``De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat’’ (ook opname) Molengraaff Instituut voor Privaatrecht
    • Wet bescherming persoonsgegevens (3)Art. 16 Wbp, lid 1: verbod op verwerking gevoelige gegevens: • Geloof • Politieke overtuiging • Gezondheid • …. Molengraaff Instituut voor Privaatrecht
    • Wet bescherming persoonsgegevens (4)Doorbreking verbod art. 16 Wbp• Art. 21 Wbp: verbod op verwerking medische gegevens niet van toepassing indien deze geschiedt, in nader omschreven situaties, door o.m. • hulpverleners/instellingen (sub a) • verzekeraars (sub b) • scholen (sub c) • bestuursorganen, pensioenfondsen, werkgevers etc. (sub f)• Of tenzij met toestemming: art. 23 Wbp Molengraaff Instituut voor Privaatrecht
    • Wet bescherming persoonsgegevens (5)• Art. 21, lid 2 Wbp: geheimhoudingsplicht algemeen• Door wie?: “(…) [Medische] gegevens worden alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht.’’ NB dus niet wetenschappelijke onderzoekers van Big Data ten zij overeengekomen geheimhouding (dus anonimiseren).• Geheimhouding tov wie? • Een ieder, tenzij wettelijke plicht tot spreken of • Uit taak mededelen aan derden bevoegd cfm. 21 lid 1 Molengraaff Instituut voor Privaatrecht
    • Van wie zijn de Big Data?• ‘Medisch dossier’ is van behandelaar(s)• Data zijn geen ‘zaken’ (art. 3:2 BW)• Dus geen ‘eigendom’ mogelijk (art. 5:1 BW)• Wel van dragers (server/dvd/usb)• Hulpverlener blijft wel verantwoordelijk voor geheimhouding, beschikbaarheid en evt. vernietiging op verzoek• Onvervreemdbare privacy-rechten op persoonsgegevens. Molengraaff Instituut voor Privaatrecht
    • Wetenschappelijk onderzoekmet gegevens (1)• Hoofdregel (art. 7: 457 BW) • verstrekking van herleidbare gegevens aan derden- onderzoekers alleen na toestemming patiënt, tenzij beroep op uitzonderingen (zie art. 458)• Uitzonderingen (art. 7: 458 lid 1 a en b BW) 1. toestemming is in redelijkheid niet mogelijk (verhuizing/overlijden/psych. belasting van patiënt) 2. toestemming kan in redelijkheid niet worden verlangd (onderzoeksmatige belemmeringen, zoals zeer grote aantallen patiënten of aantoonbaar risico op selectieve respons)• Vgl. 23 lid 2 Wbp Molengraaff Instituut voor Privaatrecht
    • Wetenschappelijk onderzoekmet gegevens (2)• Bijkomende voorwaarden wanneer beroep wordt gedaan op uitzonderingen • patiënt heeft recht bezwaar te maken (hierin ligt informatieplicht besloten) • gegevens noodzakelijk voor onderzoek • onderzoek dient algemeen belang • passende privacywaarborgen (uitzondering a) òf codering (uitzondering b) • aantekening in het medisch dossierNB wetenschappelijk onderzoek door arts met `eigen’ patiëntengegevens is niet gebonden aan deze regels (want geen doorbreking beroepsgeheim) Molengraaff Instituut voor Privaatrecht
    • Enkele conclusies• Centrale opslag Big Data zonder gevraagde toestemming patiënt mogelijk, mits voldoende beveiligd en geheimhouding bewaakt.• Verantwoordelijkheid voor Big Data blijft bij hulpverlener (ziekenhuis/medisch specialist)• Wetenschappelijk onderzoek centrale big data: • In beginsel toestemming vereist • Centrale opslag niet voldoende reden anoniem gebruik • Niet te gemakkelijk gebruik maken van de uitzonderingen van art. 7: 458 BW/23 lid 2 Wbp • Nadere regulering gewenst• Commercieel gebruik: altijd toestemming nodig• Na anonimisering: privacybescherming vervalt Molengraaff Instituut voor Privaatrecht
    • Enkele conclusies (2)• Verantwoordelijkheid centrale Big Data versus decentrale eindverantwoordelijkheid hulpverleners?• Bundelen gebruikers in rechtspersoon als opdrachtgever aan bewerker/uitvoerder• Gelaagde structuur de Dutch National Health Hub• Inzage, afschrift en vernietiging via hulpverlener Molengraaff Instituut voor Privaatrecht