Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Peter Kits (Holland Van Gijzen) @ PIDS seminar

909 views

Published on

Slides van Peter Kits (ICT-advocaat Holland Van Gijzen). Relevante nieuwe ontwikkelingen in wet- en regelgeving rond privacy en security.
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.

 • Be the first to comment

 • Be the first to like this

Peter Kits (Holland Van Gijzen) @ PIDS seminar

 1. 1. Ontwikkelingen Privacy enSecurity Wet en Regelgeving20 september 2012Peter Kits, advocaat IE/ICT/Privacy
 2. 2. Agenda► Kader► Privacy► Zorg► Security► Compliance26 september 2012 Pagina 2
 3. 3. ‘Zorgen’, voor de dag van morgen!’26 september 2012 Pagina 3
 4. 4. Kader – Data / Informatie Informatie/Data Niet Tastbaar tast baar Elektronisch Kennis in ons E- E-ongestructureerd gestruct ureerd Papier hoofd Docume nten Andere E-mail media WWW ucturee ongestr Datab ases rd26 september 2012 Pagina 4
 5. 5. Kader – Data / Regelgeving Betrokkenen Verdragen Nationale Branche en/of Zelfregulering -EU wetgeving sectorale -Internationaal regelgeving/norm en/ richtlijnen • EU Data protection • Wet bescherming • ISO code - Protocollen Directive persoonsgegevens Informatiebeveiliging - Gedrag • EVRM • Arbeidsrecht 27001 - ICT • Soc. Zekerheidsrecht • NEN 7510/11 e.v. - Beveiliging • WGBO • ZekeRe Zorg 3 - Privacy • Wet BIG • CBP zelfaudit • Wet CZ • AV23 • Zorgbrede governance code Personeel Sollicitanten Werknemers Zieke werknemers Ex werknemers Cliënten Toekomstige cliënten Bijz. cliënten Ex cliënten cliënten Toeleveranciers ICT ZZP’ers Adviseurs Arbo26 september 2012 Pagina 5
 6. 6. Kader► IGZ: Informatiebeveiliging in de zorg is vooral ‘subset’ van ‘patiëntveiligheid’ en ‘verantwoorde zorg’ (art. 2 en 3 Kz)► Patiënt = > cliënt► Zorgaanbieder = zorg(hulp)verlener26 september 2012 Pagina 6
 7. 7. Tendensen en ontwikkelingen ► Uitbesteding/gebruik cloud toepassingen ► Veldinitiatieven tot concretisering en uitwerking open normen uit wet- en regelgeving (technisch en organisatorisch) ► Versterking rechten van cliënt. Cliënt wil meer (weten en bepalen) ► Data groei zorg neemt (te) explosief toe ► Focus op meer handhaving door toezichthouders IGZ, Cbp en NZA ► Data uitwisseling tussen zorgaanbieders is niet ‘eng’ meer, integendeel.26 september 2012 Pagina 7
 8. 8. Privacy - Wbp 9 februari 2012► Wijziging 9 februari 2012 ► Geen voorafgaand onderzoek CBP meer nodig bij deelname aan bestaande zwarte lijst ► Geen vergunningplicht bij gebruikmaking EU Model clauses ► Geen verplichting jaarverslag FG meer ► Verhoging strafrechtelijke boetes ► Recht van verzet betrokkene bij gebruik direct marketing, welke maatregelen om gebruik gegevens te beëindigen?26 september 2012 Pagina 8
 9. 9. Privacy - Wbp 3 juli 2012► Drie Wbp gerelateerde besluiten aangepast: ► Besluit kostenvergoeding rechten betrokkene ► Expliciete regeling voor vergoeding afdrukken röntgenfoto’s ► Meldingsbesluit Wbp ► Vrijstellingsbesluit Wbp► Doel: administratieve lasten en nalevingskosten verminderen26 september 2012 Pagina 9
 10. 10. Privacy Wbp - Wetsvoorstel gebruik camerabeelden enmeldplicht data ekken (medio 2013)► Aanbieders van informatiediensten verplicht om diefstal, verlies of misbruik van persoonsgegevens te melden.► Dat zijn dus meer dienstverleners dan de aanbieders van elektronische communicatienetwerken en -diensten voor wie op grond van de Telecommunicatiewet een meldplicht geldt om de persoonsgegevens van abonnee of gebruiker beter te beschermen.► Boete: maximaal EUR 450.000,=► Moet nog naar Tweede Kamer► Oproep tot uitstel ICT ~ Office26 september 2012 Pagina 10
 11. 11. Privacy - EU Verordening (medio 2013/2014)► Vervangt Dataprotection directive (94/46/EG)► Pan Europese regeling met directe werking► Verplichte aanstelling ‘Data Protection Officer’ ► (vanaf 250 fte)► ‘Privacy by Design’ principe invoeren;► ‘Privacy Impact Assessments’ verplicht;► Introductie van boetes tot 2% van de jaarlijkse wereldwijde omzet van een onderneming;► (BCR: van nice to have naar must have? EU Comm Reding)26 september 2012 Pagina 11
 12. 12. Privacy - EUV - Privacy by design► EU Verordening eist invoering PbD principe: ► Rethink ► Redesign ► Revive ‘’ Legacy systems to improve privacy protection will help organizations not only to meet compliance objectives, but also to achieve cost savings and improve business performance ‘’ (PbRD Ms. Cavouvikian, Privacy by ReDesign: Building a better legacy).26 september 2012 Pagina 12
 13. 13. Privacy - EUV - Privacy Impact Assessment(1/2)► Definitie: Een PIA is een proces waarbij op doordachte en systematische wijze de effecten op het gebied van de bescherming van persoonlijke levenssfeer en persoonsgegevens van een project, programma, wet- of regelgeving, dienst, product of een ander initiatief worden beoordeeld en aan de hand van die beoordeling maatregelen worden voorgesteld en genomen die noodzakelijk zijn om negatieve effecten op de persoonlijke levenssfeer te voorkomen of te beperken.► Een PIA heeft derhalve ten doel (de verantwoordelijke te helpen) om privacyrisico’s te identificeren, problemen ten aanzien van privacy te voorkomen en om oplossingen naar voren te brengen.► Voor: “verantwoordelijken”26 september 2012 Pagina 13
 14. 14. Privacy - EUV - Privacy Impact Assessment(2/2)► Binnen de EU is in het VK door de Information Commissioners Office een Privacy Assessment Handboek opgesteld.► Europese Commissie heeft een aanbeveling gedaan over de tenuitvoerlegging van de beginselen inzake de bescherming van de persoonlijke levenssfeer en persoonsgegevens in RFID- toepassingen. Dit kader is getoetst en goedgekeurd door de Artikel 29 Werkgroep.► Op 21 september 2011 is een Privacy Impact Assessment Framework gepubliceerd ten behoeve van het directoraat generaal van de Europese Commissie.26 september 2012 Pagina 14
 15. 15. Privacy - EUV - Accountability principe► Verplichting van organisaties (verantwoordelijken) om aan te tonen dat zij compliant zijn, door het incorporeren van interne protocollen en mechanismes die compliance garanderen26 september 2012 Pagina 15
 16. 16. Privacy - Data breach notification - Wbp► “Er is sprake van een datalek als technische en organisatorische maatregelen niet hebben gefunctioneerd en de persoonsgegevens blootgesteld zijn aan een aanmerkelijk risico van verlies of onrechtmatige verwerking.”► Hierbij kan worden gedacht aan omstandigheden waardoor persoonsgegevens worden blootgesteld aan het risico van verlies of onrechtmatige verwerking, zoals: ► hackers die technisch geavanceerde beveiligingsmaatregelen teniet doen of omzeilen; ► een slordig omgaan met het beheer van wachtwoorden;► een inbraak of waterschade in het gebouw waarin de verantwoordelijke gevestigd.26 september 2012 Pagina 16
 17. 17. Privacy - Data breach notification - EU► “A breach should be considered as adversely affecting the personal data or privacy of a data subject where it could result in, for example, identity theft or fraud, physical harm, significant humiliation or damage to reputation.” (Verordening, overweging 67)26 september 2012 Pagina 17
 18. 18. Data breach notification► Preventie ► principe van “minimal disclosure” en “minimal storage period”► Monitoring ► Informatiebeveiligingsincidenten (ook van derde partijen!!) ► Van buiten naar binnen én van binnen naar buiten?► Correctie ► schade beperken en lek dichten► Communicatie en melding ► informeren betrokkenen en melden bij CBP► Interne opvolging en rapportage26 september 2012 Pagina 18
 19. 19. Zorg - Wet Cliëntenrechten Zorg(controversieel)► Doel: rechtspositie cliënten versterken en verduidelijken► Door: regels uit bestaande wetten (Wgbo, Wet BIG, Wet Gebruik BSN) samen te voegen tot 1 nieuwe wet.► Wat: ► Cliënt kan makkelijker kiezen voor een zorgaanbieder die het beste bij zorgvraag past. Wie niet tevreden is, kan daarover eenvoudiger en effectiever een klacht indienen. ► Regelt ook de verantwoordelijkheden van zorgaanbieders voor de kwaliteit van zorg. ► Geldt voor alle handelingen voor individuele gezondheidszorg, dus bijvoorbeeld ook voor zorg in privéklinieken of zorghotels De rechten uit de wet gelden voor iedereen die voor informatie, onderzoek, advies, behandeling, verpleging of verzorging bij een zorgaanbieder terecht komt.26 september 2012 Pagina 19
 20. 20. Zorg - Wetsvoorstel cliëntenrechten bijelektronische verwerking van gegevens► Wanneer: Op “korte termijn” naar RvS en daarna naar TK► “Geen aanvullende wettelijke regelgeving of wijziging nodig; er worden algemene regels gesteld voor elektronische gegevens uitwisseling in de zorg, niet voor een bepaald systeem”.► “De regelgeving is daarmee toereikend voor verschillende wijzen van elektronische gegevensuitwisseling” ► (Bron: brief Min VWS aan EK d.d. 23 mei 2012)26 september 2012 Pagina 20
 21. 21. Cloud Computing – ‘regelgeving’► “Een dienstverlening die op afstand via elektronische wijze door de Leverancier ter beschikking wordt gesteld, inhoudende het gebruik van Software of een Platform dat op de Infrastructuur van de Leverancier draait, een en ander inclusief de Installatie en Onderhoud van de Software en het Platform en de Opslag van Data van Afnemer”► Zienswijzen Art 29Werkgroep en CBP► Geen directe werking, maar toch …26 september 2012 Pagina 21
 22. 22. Standaarden (1/2)► Volgens Min VWS is het aan de Ver. voor Zorgaanbieders en Zorg communicatie (VZVZ) hier verder invulling aan te geven.► CCR/CCD (Nictiz) ► CCR/CCD biedt de mogelijkheid om op een flexibele manier de meest belangrijke en actuele patiëntinformatie elektronisch samen te stellen. ► CCR/CCD geeft structuur aan zorgverleners om afspraken te maken over de gegevens die worden uitgewisseld bij de overdracht van patiënten in de zorgketen.► Het biedt zorgverleners, die de patiënt behandelen, de mogelijkheid de gegevens in samenhang te zien.► In de Verenigde Staten heeft HITSP (Health Information Technology Standards Panel, een overheidsinitiatief) de C32 standaard ontwikkeld voor de uitwisseling van een samenvatting van de medische status van een patiënt.26 september 2012 Pagina 22
 23. 23. Standaarden (2/2)► Het Europese epSOS (Smart Open Services for European Patients) project heeft als voornaamste doel de kwaliteit en veiligheid van de gezondheidszorg voor burgers, die tijdelijk in een ander Europees land verblijven, te verbeteren.► Om dit te bereiken is onder meer voor de overdracht van de meest relevante patiënt gegevens een ‘Patient Summary’ gedefinieerd. Dit overdrachtdocument is een verdere uitwerking van het IHE Medical Summary profiel op grond van de epSOS eisen voor de Europese use case.26 september 2012 Pagina 23
 24. 24. Security► Beveiliging of veiligheid ?► De actie of de situatie?26 september 2012 Pagina 24
 25. 25. Toetsbare normenEr zijn een aantal normen die kunnen helpen bij het invullen van deopen (beveiligings-)norm en toetsen van de situatie: ► ISO Code voor informatiebeveiliging (27001) ► AV23 (risico klassen) ► CBP ► AV Werken in netwerken ► CBP ► Raamwerk Privacy Audit ► CBP ► NEN7510/Zekere Zorg 3 (toetsingskader NEN7510, W&R + Uitbesteding) ► NEN, NIAZ/NOREA ► HKZ normen ► Handreiking risico analyse ► NVZ ► General Accepted Privacy Principles (GAPP)26 september 2012 Pagina 25
 26. 26. Uitbesteding► PON Modelcontract outsourcing► Norea/PviB: Normen voor de beheersing van uitbestede ICT-Beheerprocessen► Art 29 Werkgroep zienswijze26 september 2012 Pagina 26
 27. 27. Studierapport ENISA► “The principle of minimal disclosure (when collecting personal data) and the principle of minimal storage period (when storing data) is operationalized” ► Verzamel alleen noodzakelijke data – niet meer dan je nodig hebt. ► Alleen data opslaan zolang dit noodzakelijkwijs nodig is (met inachtneming data retention verplichtingen)26 september 2012 Pagina 27
 28. 28. Compliance - definitieCompliance is een term die de afgelopen jaren met name in het bank enverzekeringswezen wordt gebruikt en in de (van DNB afkomstige)Regeling organisatie en beheersing (Rob) wordt gedefinieerd als: denaleving van wet- en regelgeving, alsmede het werken volgens denormen en regels die een instelling zelf heeft opgesteld.26 september 2012 Pagina 28
 29. 29. UitdagingHoe vul je de eisen uit privacy én toezichtwet- en regelgevingconcreet, efficiënt en in doorlopende overeenstemming daarmee in?► Kernissues: ► Bewaren ► Wbp: vernietigen na bereiken doel ≠ ► Toezicht: wettelijke bewaartermijnen in achtnemen ► Geheimhouden ► Wbp: technische en organisatorisch maatregelen om te beschermen en geheimhouden, maar ook (≠) transparant zijn ≠ ► Toezicht: monitoren voor en/of verstrekken gegevens op verzoek van toezichthouders26 september 2012 Pagina 29
 30. 30. To do► Geïntegreerde aanpak:26 september 2012 Pagina 30
 31. 31. Contact Peter Kits E: peter.kits @hollandlaw.nl M: 06 2125233826 september 2012 Pagina 31
 32. 32. Holland Van Gijzen Advocatenen Notarissen LLPHolland Van Gijzen Advocaten en Notarissen LLP is een limited liability partnership gevestigd in Engeland en Wales metregistratienummer OC335658. In relatie tot Holland Van Gijzen Advocaten en Notarissen LLP wordt de term partnergebruikt voor een (vertegenwoordiger van een) vennoot van Holland Van Gijzen Advocaten en Notarissen LLP. HollandVan Gijzen Advocaten en Notarissen LLP is statutair gevestigd te Lambeth Palace Road 1, London SE1 7EU, VerenigdKoninkrijk, heeft haar hoofdvestiging aan Boompjes 258, 3011 XZ Rotterdam, Nederland en is geregistreerd bij de Kamervan Koophandel Rotterdam onder nummer 24433164. Holland Van Gijzen Advocaten en Notarissen LLP heeft eenstrategische alliantie met Ernst & Young Belastingadviseurs LLP. Op onze werkzaamheden zijn algemene voorwaardenvan toepassing, waarin is opgenomen dat iedere aansprakelijkheid is beperkt tot het bedrag dat in het desbetreffendegeval onder onze beroepsaansprakelijkheidsverzekering wordt uitbetaald. De algemene voorwaarden zijn gedeponeerd bijde Kamer van Koophandel Rotterdam en zijn in te zien op www.hollandlaw.nl.

×