Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
BIG DATA FOR
PERSONAL HEALTH
12 April 2016, Zorg2025
Sofie van der Meulen
www.axonlawyers.com
#Zorg2025
Overzicht
• Definitie Big Data
• Big Data & Privacy in de zorg
Definitie Big Data =
4
Wat is privacy?
“I was Patient Zero,” said Lewinsky, now 41, to an auditorium full of 1,000-
plus high-achieving millennials at Forbes’ in...
Wat is privacy?
• Lichamelijke privacy
Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam.
• Relationele priv...
Artikel 10 Grondwet
1. Ieder heeft, behoudens bij of krachtens de wet te stellen
beperkingen, recht op eerbiediging van zi...
8
Privacy
• Richtlijn 95/46/EG betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoons...
You want a piece of me?
• Privacy policy
Vertel mensen WAAROM (doel) je persoonsgegevens wil verwerken, leg
uit HOE je met...
Wet bescherming persoonsgegevens
Centrale begrippen
11
Persoonsgegeven:
‘Elk gegeven betreffende een geïdentificeerde of i...
Big Data & Data Protection - issues
Niet meer data verzamelen dan nodig vs. zoveel
verzamelen als mogelijk
• Datasets comb...
Wet bescherming persoonsgegevens
Centrale begrippen
13
Verantwoordelijke:
‘de natuurlijke persoon, rechtspersoon of ieder ...
Rechten van de betrokkene
• Recht op inzage (artikel 35 Wbp en WGBO)
• Recht op verbetering, aanvulling, verwijdering en a...
Wet bescherming persoonsgegevens
Centrale begrippen
Toestemming van de betrokkene:
‘elke vrije, specifieke en op informati...
Big Data & Data Protection - issues
Informed consent (toestemming) vs. doelbinding
• Consent: “…any freely given specific ...
Persoonsgegevens betreffende
iemands gezondheid
Persoonsgegevens betreffende iemands gezondheid zijn
bijzondere persoonsge...
Reikwijdte
‘gezondheidsgegevens’?
European Court of Justice in Case C-101/01 (Lindqvist):
‘In the light of the purpose of ...
Persoonsgegevens delen met
derden
• Buiten EU: passend beschermingsniveau vereist (artikel 76
Wbp)
• Uitzonderingen: artik...
Big data in de gezondheidszorg
20
Smart apps
• Opinie van de Groep Gegevensbescherming artikel 29 – WP 202
• Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG...
Smart apps
Welke persoonsgegevens?
• Locatie
• Contacten
• Identificatiegegevens van het apparaat (IMEI, mobiele nummer)
•...
Smart apps – compliance in de
praktijk
• Toestemming voorafgaand aan installatie en verwerking.
Vrije wilsuiting
Knoppen ‘...
Rapporten CBP (nu AP)
‘Beveiliging persoonsgegevens onvoldoende’
1. Rapport Okki-app in september 2014
2. Rapport beveilig...
Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeul...
26
THANK YOU FOR YOUR ATTENTION!
Upcoming SlideShare
Loading in …5
×

Zorg2025 Big Data for Personal Health

584 views

Published on

Presentatie van Sofie van der Meulen tijdens Zorg2025 event op 12 april met als onderwerp Big Data for Personal Health.

Published in: Law
  • Be the first to comment

  • Be the first to like this

Zorg2025 Big Data for Personal Health

  1. 1. BIG DATA FOR PERSONAL HEALTH 12 April 2016, Zorg2025 Sofie van der Meulen www.axonlawyers.com #Zorg2025
  2. 2. Overzicht • Definitie Big Data • Big Data & Privacy in de zorg
  3. 3. Definitie Big Data =
  4. 4. 4 Wat is privacy?
  5. 5. “I was Patient Zero,” said Lewinsky, now 41, to an auditorium full of 1,000- plus high-achieving millennials at Forbes’ inaugural 30 Under 30 summit in Philadelphia. “The first person to have their reputation completely destroyed worldwide via the Internet.” https://www.ted.com/talks/monica_lewinsky_the_price_of_shame?languag e=en ‘(…)…Don't matter if I step on the scene Or sneak away to the Philippines They still gon' put pictures of my derriere in the magazine You want a piece of me? You want a piece of me’ (Britney Spears – Lyrics ‘Piece of me’) Vraag het Monica Lewinsky… Vraag het Britney Spears… Vraag het Jennifer Lawrence…
  6. 6. Wat is privacy? • Lichamelijke privacy Artikel 11 Grondwet: recht op onaantastbaarheid van het lichaam. • Relationele privacy Artikel 13 Grondwet: briefgeheim en telefoon- en telegraafgeheim. • Ruimtelijke privacy Artikel 12 Grondwet: het binnentreden van een woning. • Informationele privacy Artikel 8 Handvest van de Grondrechten van de Europese Unie: ‘1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.’ 6
  7. 7. Artikel 10 Grondwet 1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. 7
  8. 8. 8
  9. 9. Privacy • Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. In Nederland geïmplementeerd in: • De Wet bescherming persoonsgegevens (WBP) De WBP legt verplichtingen op aan verwerkers van persoonsgegevens en geeft rechten aan betrokkenen. Daarnaast is toezicht op de verwerking van persoonsgegevens geregeld. • Op Europees niveau wordt nu gewerkt aan een Privacyverordening (GDPR). 9
  10. 10. You want a piece of me? • Privacy policy Vertel mensen WAAROM (doel) je persoonsgegevens wil verwerken, leg uit HOE je met de gegevens omgaat en WAT je ermee gaat doen. • Privacy by design Maak privacy en beveiliging van persoonsgegevens onderdeel van de ontwikkeling van de dienst of product.
  11. 11. Wet bescherming persoonsgegevens Centrale begrippen 11 Persoonsgegeven: ‘Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 1, sub a Wbp) 1. Hoe worden gegevens gebruikt? 2. Aard gegevens (kenmerkend?) en mogelijkheden tot identificatie? Pseudonimiseren? Anonimiseren? Verwerking van persoonsgegevens: ‘Elke handeling of elk geheel van van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens’ (artikel 1, sub b Wbp)
  12. 12. Big Data & Data Protection - issues Niet meer data verzamelen dan nodig vs. zoveel verzamelen als mogelijk • Datasets combineren en op zoek gaan naar patronen en correlaties/ Anonimiseren? • Volledig anonimiseren is waarschijnlijk onmogelijk-> focus op verkleining risico identificatie Pseudonimiseren = beveiligingsmaatregel. Onder GDPR: persoonsgegevens
  13. 13. Wet bescherming persoonsgegevens Centrale begrippen 13 Verantwoordelijke: ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (artikel 1, sub d Wbp) Bewerker: ‘degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen’ (artikel 1, sub e Wbp) Betrokkene: ‘degene op wie een persoonsgegeven betrekking heeft’ (artikel 1, sub f Wbp)
  14. 14. Rechten van de betrokkene • Recht op inzage (artikel 35 Wbp en WGBO) • Recht op verbetering, aanvulling, verwijdering en afscherming (artikel 36 Wbp). • Recht van verzet (artikel 40 en 41 Wbp). Als verzet wordt aangetekend tegen direct-marketingdoeleinden moet het gebruik door de organisatie direct beëindigd worden. 14
  15. 15. Wet bescherming persoonsgegevens Centrale begrippen Toestemming van de betrokkene: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’ 1. In vrijheid verstrekt? 2. Betrekking op specifieke gegevensverwerking (bepaalbaarheidsvereiste)? 3. Beschikt betrokkene over noodzakelijke informatie om tot oordeel te komen? Ondubbelzinnige toestemming (artikel 8, sub a Wbp) Bewijslast voor verantwoordelijke: 1. Bewijzen dat toestemming is verleend; 2. Waarvoor toestemming is verleend. ! Leg verstrekte informatie, doel verwerking en toestemming schriftelijk vast! 15
  16. 16. Big Data & Data Protection - issues Informed consent (toestemming) vs. doelbinding • Consent: “…any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed”. Special data? Explicit consent (see article 29 WP Opinion 15/2011). Is het nieuwe doel verenigbaar met originele doel(en)? Nee? -> aanvullende toestemming vereist, tenzij andere grondslag (behandeling).
  17. 17. Persoonsgegevens betreffende iemands gezondheid Persoonsgegevens betreffende iemands gezondheid zijn bijzondere persoonsgegevens. Verwerking van bijzondere persoonsgegevens is verboden in artikel 16 Wbp, tenzij sprake is van een uitzondering in artikel 21 Wbp. Het verbod is niet van toepassing als de verwerking geschiedt door: • Hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is (artikel 21, eerste lid, sub a Wbp) en • de verwerker onderworpen is aan een beroepsgeheim (Wet op de Beroepen in de Individuele Gezondheidszorg, Wet BIG) • Ondubbelzinnige toestemming is gegeven door de betrokkene. 17
  18. 18. Reikwijdte ‘gezondheidsgegevens’? European Court of Justice in Case C-101/01 (Lindqvist): ‘In the light of the purpose of the directive, the expression “data concerning health” used in Article 8(1) thereof must be given a wide interpretation so as to include information concerning all aspects, both physical and mental, of the health of an individual.’ Brief WP29 van 5 februari 2015 data verzameld door mHealth apps: ‘Health data includes: • Medical data: ‘data about the physical or mental health status of a data subject (…) generated in a professional, medical context • Health related data used in an administrative context (information to public entities) • Data about the purchase of medical products and services provided that the health status can be determined’
  19. 19. Persoonsgegevens delen met derden • Buiten EU: passend beschermingsniveau vereist (artikel 76 Wbp) • Uitzonderingen: artikel 77 Wbp (o.a. ondubbelzinnige toestemming en via een vergunning van de minister van justitie) Safe Harbor - Zelfcertificering door bedrijven. - Heeft alleen betrekking op de overdracht van de EU naar een andere jurisdictie, niet op verdere compliance door de verantwoordelijke of bewerker. - Sinds oktober 2015 ongeldig verklaard! -> Privacy Shield Meer lezen: https://www.medzineapp.com/nl/artikel/blogbijdrage-privacyschild-nieuwe-basis- gegevensoverdracht-eu-vs-door-sofie https://www.medzineapp.com/nl/artikel/privacy-shield-een-varken-met-lippenstift 19
  20. 20. Big data in de gezondheidszorg 20
  21. 21. Smart apps • Opinie van de Groep Gegevensbescherming artikel 29 – WP 202 • Naast Wbp is ook e-Privacyrichtlijn (2002/58/EG) van toepassing (artikel 5, derde lid, toestemming nodig voor plaatsen en lezen van alle informatie op apparaat) Gegevensverwerking door apps • Ondubbelzinnige toestemming voor verwerking ontbreekt vaak • Gebrek aan transparantie over de verwerking van persoonsgegevens • Slechte beveiligingsmaatregelen (lekken, ongeautoriseerde verwerking) • Maximale gegevensverzameling • Fragmentatie verantwoordelijkheden door groot aantal spelers: App-ontwikkelaars – privacy by design App-eigenaars App-winkels Fabrikanten van besturingssystemen Derden die betrokken zijn bij verzameling gegevens 21
  22. 22. Smart apps Welke persoonsgegevens? • Locatie • Contacten • Identificatiegegevens van het apparaat (IMEI, mobiele nummer) • Identiteit betrokkene • Naam telefoon ‘iPhone van Sofie van der Meulen’ • Creditcard- en betalingsgegevens • Registeren van gesprekken, sms-berichten of instant messaging • Browsergeschiedenis • E-mail • Inloggegevens voor diensten op internet • Foto’s en video’s • Biometrische informatie (bijv. gezichtsherkenning, vingerafdrukken) 22
  23. 23. Smart apps – compliance in de praktijk • Toestemming voorafgaand aan installatie en verwerking. Vrije wilsuiting Knoppen ‘accepteren’ en ‘weigeren’ NIET: ‘ik ga akkoord’ Specifiek Mogelijkheid om apart akkoord te gaan met specifieke verwerking per functie van de app. NIET: algemene machtiging door knop ‘installeren’ of verzoek akkoord te gaan met lange lijst voorwaarden Geïnformeerd Wie verzamelt, welke gegevens, voor welke doeleinden, voor wie en welke rechten voor betrokkene Doelbinding Geen tussentijdse wijziging van verwerkingsdoelen zonder ondubbelzinnige toestemming 23
  24. 24. Rapporten CBP (nu AP) ‘Beveiliging persoonsgegevens onvoldoende’ 1. Rapport Okki-app in september 2014 2. Rapport beveiliging netwerk Groene Hart Ziekenhuis 3. Rapport Nike+ Running app www.autoriteitpersoonsgegevens.nl Privacyverordening (GDPR): striktere regels met een grote impact op onderzoek!!
  25. 25. Sofie van der Meulen Axon Advocaten Piet Heinkade 183 1019 HC Amsterdam +31 88 650 6500 +31 6 53 44 05 67 sofie.vandermeulen@axonadvocaten.nl
  26. 26. 26 THANK YOU FOR YOUR ATTENTION!

×