Workshop "Privacy en ICT in de zorg"

2,466 views

Published on

0 Comments
1 Like
Statistics
Notes
 • Be the first to comment

No Downloads
Views
Total views
2,466
On SlideShare
0
From Embeds
0
Number of Embeds
118
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Workshop "Privacy en ICT in de zorg"

 1. 1. Privacy en ICT in de zorg Jaap Kronenberg Mark Jansen Arnhem, 25 juni 2009
 2. 2. Verantwoording In deze presentatie wordt algemene en beknopte informatie verstrekt over een aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee juridisch advies te geven voor concrete situaties. Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de inhoud ervan. © Dirkzwager advocaten & notarissen N.V. 2009. Alle rechten voorbehouden.
 3. 3. NOS Journaal 20.00 uur 2 april 2009
 4. 4. Wet Bescherming Persoonsgegevens (WBP-1) • Doel: • bescherming persoonlijke levenssfeer in digitale omgeving • Uitgangspunt: • verwerking persoonsgegevens mag niet, tenzij… • Persoonsgegevens: • gegevens herleidbaar tot natuurlijk persoon • Verwerking: • alle handelingen (ruim begrip)
 5. 5. WBP-2 • Verwerking mag alleen voor: • duidelijk omschreven en bepaald doel • dat kenbaar is en • gerechtvaardigd is. • Gerechtvaardigde verwerking is: • ondubbelzinnige toestemming; • uitvoering overeenkomst; • noodzakelijk voor nakoming wettelijke verplichting • noodzakelijk voor publieke taak
 6. 6. WBP-3 • Toestemming • Ondubbelzinnig, twijfel uitgesloten • Bewijslast bij verantwoordelijke verwerking • Minderjarigen < 16, toestemming ouder • ieder moment worden ingetrokken, 5.2 WBP
 7. 7. WBP-4 • Verantwoordelijke: • Die doel en middelen van de verwerking bepaalt • Patiëntendossier van ziekenhuis ? • ICT-praktijksysteem van apotheker ? • Bewerker: • die voor verantwoordelijke gegevens verwerkt, zonder aan zijn gezag te zijn onderworpen • ICT systeem verpleeghuis “patiënten-planner” op externe server IT-bedrijf? • Verantwoordelijke blijft verantwoordelijk WBP • Overeenkomst verantwoordelijke-bewerker
 8. 8. WBP-5 • Bijzondere persoonsgegevens: • Ras, godsdienst, gezondheid, politieke gezindheid, sexuele leven, lidmaatschap vakbond, e.d. • Verbod verwerking bijzondere persoonsgegevens, tenzij wet toestaat (16 WBP) • Artikelen 17 t/m 23 WBP
 9. 9. Verwerking gegevens gezondheid • Verwerking gegevens gezondheid mag alleen door (21-1 WBP): • a. hulpverleners, instellingen gezondheidszorg of maatsch. dienstverlening; • b. verzekeraars; • c. scholen; • d. reclasseringsinstelling, de raad voor de kinderbescherming; • e. Justitie; • f. bestuursorganen, pensioenfondsen, werkgevers;
 10. 10. Verwerking gegevens gezondheid • Noodzakelijkheidseis (21-1 WBP): • Gezondheidsgegevens mogen alleen worden verwerkt: voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is; • Beheer: • kwaliteitsborging, intercollegiaal, financieel
 11. 11. Verwerking gegevens gezondheid • Geheimhoudingsplicht (21-2 WBP) : • en mits door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. • Wet BIG: artsen, tandartsen, apothekers, verpleegkundigen, etc.; • Beroepsregels: bijv: maatschappelijk werkers • Overeenkomst: medewerkers zorginstellingen of externen
 12. 12. WBP-9 • Overige eisen WBP onverminderd van kracht • Dus 2 stappen toets: • toets artikel 21 WBP • toets overige eisen WBP zoals gerechtvaardigde grondslag (uitv. overeenkomst, toestemming, wettelijk voorschrift) • WGBO vult geheimhoudingsplicht in zorg nader in
 13. 13. WGBO • WGBO, doel: • versterking positie patiënt in kader behandelingsovk. met hulpverlener (indiv./instelling): BW 7:446 e.v. • Dossierplicht (7:454 BW): • patiëntendossier • Geheimhoudingsplicht (7:457 BW): • verstrekking/inzage/ afschrift van gegevens patiëntendossier niet aan anderen dan patiënt, tenzij • aan rechtstreeks bij behandeling betrokkenen/verv. • toestemming patiënt • wettelijke plicht
 14. 14. Geheimhoudingsplicht-1 • Verstrekking aan rechtstreeks betrokkenen uitvoering behandeling (7:457-2 BW): • assistenten • geconsulteerde collega’s • administratie medewerkers (extern bureau, mits bewerker ogv WBP) • Verstrekking aan vervangers • mits en voor zover verstrekking aan hen noodzakelijk voor hun werkzaamheden in kader behandeling (noodzakelijkheidseis)
 15. 15. Geheimhoudingsplicht-2 • Toestemming patiënt (7:457-1 BW) • Uitdrukkelijke toestemming (23-1(a) WBP) • expliciete wilsuiting vereist • ≠ stilzwijgende/impliciete toestemming • Voorbeelden: • >opvolgend behandelaar • bedrijfsarts>werkgever • transmurale zorgteams
 16. 16. Geheimhoudingsplicht-3 • -vervolg- toestemming patiënt • Veronderstelde toestemming bij verstrekking aan: • rechtsreeks bij behandeling betrokkenen • vervanger van behandelaar • Toestemming kan worden ingetrokken • voor bepaalde hulpverleners of gegevens • dus: in ICT autorisatie op niveau gegevens en indiv. hulpverleners • Zonder informatie vooraf géén toestemming
 17. 17. Informatieplicht-1 • 33-34 WBP: • Verantwoordelijke moet informeren over: • identiteit verantwoordelijke • doeleinden verwerkingen • andere vereiste info voor zorgvuldige verwerking • WGBO: • Hulpverlener moet informeren over: • aard/doel behandeling (7:448 BW) • Geen andere expliciete informatieplicht • Impliciet wel: verstrekking gegevens gezondheid aan anderen dan patiënt, waarvoor toestemming is vereist • uitdrukkelijke en veronderstelde toestemming
 18. 18. Informatieplicht-2 • Praktische tips (voorzover mogelijk): • patiënt vooraf informeren via brochure • transparantie loont • toestemming op schrift via formulier • ICT inrichten op mogelijkheid van bezwaar en intrekking toestemming
 19. 19. Dirkzwager
 20. 20. Pauze
 21. 21. Gegevensbeveiliging • Recente handhaving CBP vier ziekenhuizen • Juridisch kader rondom informatiebeveiliging • Meer specifiek: autorisaties
 22. 22. Handhaving
 23. 23. Handhaving CBP ziekenhuizen
 24. 24. Handhaving CBP ziekenhuizen • 2007: onderzoek IGZ CBP informatiebeveiliging twintig ziekenhuizen • Allemaal onvoldoende • Plan van aanpak voor 15-10-2008
 25. 25. Handhaving CBP ziekenhuizen • 8 juni 2009: • brief CBP aan vijf ziekenhuizen dd. 2 juni; • persbericht met toelichting op deze brieven. • Een ziekenhuis geen maatregel. • Voldeed al bijna aan norm. • Dwangsommen vier ziekenhuizen: • € 1.000,- of € 2.000,- per dag per overtreding; • Max. € 30.000,- of € 60.000,- per overtreding.
 26. 26. Beveiliging van persoonsgegevens
 27. 27. Beveiligingseisen artikel 13 WBP • Beveiliging tegen • verlies en/of • enige vorm van onrechtmatige verwerking alsmede • onnodige verzameling en/of • verdere verwerking van persoonsgegevens • Beveiligingsmaatregelen • technisch • wachtwoorden, smartcards, back-ups, versleuteling, logfiles, virusbeveiliging, etc. • organisatorisch • afgesloten ruimtes, screening personeel, brandbeveiliging, clean desk policy, etc.
 28. 28. Beveiligingseisen artikel 13 WBP • Beveiligingsbeleid, beveiligingsplan en implementatie van het stelsel van maatregelen en procedures • Administratieve organisatie • Beveiligingsbewustzijn • Eisen te stellen aan personeel • Inrichting van de werkplek • Beheer en classificatie van de ICT infrastructuur • Toegangsbeheer en -controle
 29. 29. Beveiligingseisen artikel 13 WBP • Netwerken en externe verbindingen • Gebruik van software van derden • Bulkverwerking van persoonsgegevens • Bewaren van persoonsgegevens • Vernietiging van persoonsgegevens • Calamiteitenplan • Uitbesteden van en overeenkomsten voor de verwerking van persoonsgegevens
 30. 30. Beveiligingseisen artikel 13 WBP • “Passend niveau” • de stand van de techniek • de kosten van de tenuitvoerlegging • gelet op • de risico's die de verwerking • de aard van te beschermen gegevens • “Een eenvoudig of vrij goedkoop te nemen beveiligingsmaatregel moet genomen worden”
 31. 31. Beveiligingseisen artikel 13 WBP • Algemene nadere uitwerking: • Rapport “Beveiliging van persoonsgegevens” (2001) van het CBP • Gratis te lezen op http://www.cbpweb.nl • Uitwerking specifiek voor de zorg: • NEN-normen 7510-7512 • Te bestellen via http://www.nen7510.org/ of http://www.nen.nl/ tegen betaling van € 43,- per norm
 32. 32. Beveiligingseisen artikel 13 WBP • CBP toetst aan NEN-norm 7510 • Nadere uitwerking • NEN 7511-1 • Toetsbaar voorschrift complexe organisaties • NEN 7511-2 • Toetsbaar voorschrift samenwerkingsverbanden • NEN 7511-3 • Toetsbaar voorschrift solopraktijken • NEN 7512 • Vertrouwensbasis voor gegevensuitwisseling
 33. 33. NEN 7510, 7511 en 7512 Algemene kader NEN 7510 plus… Met directie Zonder directie Met eigenstandige Complexe organisaties Samenwerkingsverband informatievoorziening (NEN 7511-1) (NEN 7511-2) Zonder eigenstandige Samenwerkingsverband Solopraktijk informatievoorziening (NEN 7511-2) (NEN 7511-3) …plus aanvullingen NEN 7512 voor gegevensuitwisseling
 34. 34. Autorisaties Wie mag er bij welke gegevens?
 35. 35. Juridisch kader autorisaties • Wet bescherming persoonsgegevens • Wet geneeskundige behandelingsovereenkomst • Wet op de beroepen in de individuele gezondheidszorg • Wetboek van Strafrecht
 36. 36. Spanningsveld hulpverleners Dossierplicht Geheimhoudings Zorgplicht plicht •Artikel 7:454 BW •Artikel 88 Wet BIG •Goed •Wet gebruik BSN in •Artikel 272 Wetboek opdrachtnemerschap de zorg (EPD) van Strafrecht kan inschakeling •Artikel 7:457 BW derden vereisen (7:401 BW)
 37. 37. Spanningsveld automatisering Voordelen koppeling Nadelen koppeling gegevens gegevens •Eenvoudige invoer •Privacybezwaren •Verbanden leggen om zo •Intrekken toestemming patiënt behandeling patiënt te •Meer gegevens, strengere verbeteren beveiliging •Vereenvoudigt programmeerwerk •Vereenvoudigt beheer
 38. 38. Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • godsdienst of levensovertuiging; • ras; • politieke gezindheid; • gezondheid; • seksuele leven; • lidmaatschap van een vakvereniging.
 39. 39. Wie mag er bij het dossier? • Artikel 16 WBP: verbod om bijzondere persoonsgegevens te verwerken • Bijzondere persoonsgegevens: gegevens omtrent • gezondheid; • Memorie van Toelichting: • “Het enkele gegeven dat iemand ziek is, is een gezondheidsgegeven” • “Het begrip «gezondheid» moet niettemin ruim worden opgevat; het omvat (…) alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen.”
 40. 40. Wie mag er bij het dossier? • Artikel 21 WBP: beperkte uitzondering • Mits beroepsgeheim • Noodzakelijkheidcriterium • Artikel 23 WBP: uitdrukkelijke toestemming betrokkene
 41. 41. Wie mag er bij het dossier? • Let op met ASP / SAAS software • Softwaredienstverlener onder omstandigheden zelf als verantwoordelijke aan te merken • Deze valt echter niet onder uitzondering artikel 21 WBP! • Terugvallen op uitdrukkelijke toestemming artikel 23 WBP
 42. 42. Wie mag er bij het dossier? • Zorginstelling mag onder voorwaarden bijzondere persoonsgegevens verwerken (WBP) • Individuele hulpverlener mag gegevens niet aan derden verstrekken (WGBO / Wet BIG) • Uitgezonderd zijn de rechtstreeks bij de uitvoering van de behandelingsovereenkomst betrokken derden (WGBO) • Die uitzondering is een wettelijk vermoeden van toestemming van de patiënt
 43. 43. Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere •Rechtstreeks hulpverleners betrokken •Noodzakelijk Administratie •Rechtstreeks betrokken •Noodzakelijk •Geheimhouding •Bewerker
 44. 44. Wie mag er bij het dossier? Zonder toestemming patiënt Met toestemming patiënt De hulpverlener Volledige dossier Iedereen Afhankelijk toestemming Andere Alleen voor hulpverleners zover rechtstreeks betrokken bij uitvoering behandelingsove reenkomst Administratie Alleen voor zover nodig voor administratie en mits aan geheimhouding gebonden Toestemming kan altijd worden ingetrokken!
 45. 45. Wie mag er bij het dossier?
 46. 46. Wie mag er bij het dossier? • Individuele autorisaties • Groepsaccounts uit den boze • Gegevens classificeren • Autorisatie daarop afstemmen • Omzeilen in noodsituaties mogelijk • Mits beleid hiervoor • Mits gelogd • Veilige wachtwoorden • Alles loggen • Systeemklokken moeten juiste tijd aangeven
 47. 47. Selectie te nemen maatregelen • Geen info autorisatieniveau in gebruikersnaam • Dus niet: arts104 of secretaresse105 • Bestrijd verborgen communicatiekanalen • USB-poort, webmail, web 2.0 diensten • Kritische apparatuur achter slot en grendel • Bescherming kabels afluisteren en beschadiging • Periodieke controle toegangsrechten
 48. 48. Een scenario uit NEN 7512 • Scenario: huisarts informeert patiënt over uitslag • Authenticatieniveau patiënt: matig • Veilig wachtwoord, altijd versleuteld verzonden • Biometrie • Fysiek authenticatiemiddel • Digitale certificaten, mits 2e authenticatiefactor • Versleutelde verbinding • Dus normale e-mail uitgesloten! • Elektronische handtekening zorgverlener • Vereist sterk authenticatieniveau • Biometrie met 2e authenticatiefactor • Certificaat op smartcard met veilig wachtwoord of biometrie
 49. 49. Nog vragen? • Jaap Kronenberg 026 – 353 83 77 kronenberg@dirkzwager.nl • Mark Jansen 026 – 353 83 23 m.jansen@dirkzwager.nl Borrel

×